-  IT Security Risk Management (ISRM):

• Kontrolle der IT-Security Umsetzung im Software-Development-Life-Cycle (SDLC) in Zusammenarbeit mit Datenschutz und IT-Architektur sowie der Projekt-Management-Organisation;
• Kontrolle der IT-Security Umsetzung im IT-Betrieb (Application- und IT-Service-Operation, DevOps, Backup und Recovery, Disaster Recovery, Identity and Access Management (IAM), Datenverschlüsselung (encryption data in transport/in rest, Schlüssel- und Zertifikatemanagement, CA Operation));
• 3rd Party Risk Management (Prüfung externer Vorhaben gegen internes IT Security Framework).

- Frameworks and Policies:

• Unterstützung des CISO, des Portfolio-Managements, des Risiko-Managements und IT-Operations bei der Abstimmung der Portfolio- und Project-Management-Prozesse mit dem Operational-Risk-Management-Prozess im SDLC gem. ITIL/ISO 20000;
• Implementierung zusätzlicher IT-Security-Kontrollen und Quality Gates gemäß der Gruppen-Richtlinien und regulatorischer Anforderungen (FINMA (CH), BaFin (DE), DORA (EU), NIS2 (EU)) im SDLC und den CI/CD Pipelines wie STRIDE Analyse, Security Design Pattern, Cloud Design Pattern, SAST/DAST Testing;
• Unterstützung des CISO bei der Anpassung des IT-Security- und IT Risk-Management-Framework auf neue technische und organisatorische Anforderungen (z.B. Cloud-Strategie, Künstliche Intelligenz (KI));
• Evaluierung von Möglichkeiten des KI-Einsatzes in der IT-Securitiy (z.B. STRIDE Threat Modeling); 
• Review von Überarbeitungen des IT-Security- and Risk-Management-Frameworks (Policies, Security Practices, Work-Instructions, IT-Security- und Risk-Management- Templates).

- Audit bezogene Aufgaben:

• Management von internen und regulatorischen Audit-Findings (Projektmanagement, Projektüberwachung von Mitigationsprojekten). 

• Analyse der Feststellungen und vereinbarten Folgemaßnahmen;
• Abgleich externer IT-Verträge gegen das interne IT Security Framework und spezifische Kontrollen;

• Analyse und Dokumentation der Prozessketten, beteiligten Anwendungen, deren Schnittstellen und ausgetauschten Informationen (Artefakte) sowie organisatorische Fragen zwischen den involvierten Einheiten der IT Organisation;

• Erarbeitung und Abstimmung konkreter Maßnahmen zur Verbesserung der Orchestrierung der beteiligten Anwendungen und Teams (Squads);
• Technische Abstimmung/Anpassung des Umsetzungsplanes mit den involvierten IT-Teams und der internen Revision;
• Erarbeitung der technischen und organisatorischen Projektplanung und Kontrolle des Implementierungsfortschrittes.

• Backup und Recovery, Global Backup und Desaster Recovery Concept;
• Änderung von Sourcing-/Cloud-Strategien (z.B. O365, AWS, GCP, MS Power Plattform);
• Anpassung von Mobile Device Strategien (z.B. Intune, Mobile Iron, Wandera);
• Identity and Access Management (IAM) für Cloud- und On-Premise Anwendungen (CASB, PingID, SLAM 2.0, AD, LDAP);
• Konsolidierung von Maschinen- und Produktionssteuerungssystemen (z.B. ERP <=> MES <=> SCADA);
• Telematics und Vorausschauende Wartung;
• RZ-Konsolidierung;
• Eingliederung von Unternehmenszukäufen (M&A);
• IT/OT Verfügbarkeit für kritische Geschäftsprozesse (BCM);
• Sicherheitsarchitektur bezgl. Verarbeitung von "streng vertraulichen" Dokumenten und Artefakten;  
• Managed File Transfer (MFT), Electronic data interchange (EDI), Product Lifecycle Management Systems (PLM)

• Ermittlungen und Dokumentation von Bedrohungen (z.B. Ausfall, Sabotage, Spionage, Verstoß gegen regulatorische Vorgaben wie ITSiG, EU-DSGVO (GDPR) etc.);
• Ermittlung und Dokumentation von technischen und organisatorischen Schwachstellen (z.B. active / passiv Code Scanning, Penetration Testing, IT Architekturanalyse);
• Ermittlung der sich hieraus ergebenden Einzelrisiken, Risikoverkettungen und systemischen Risiken;
• Ermittlung der Eintrittswahrscheinlichkeiten von Risiken;
• Ermittlung des Schadenpotentials der Risiken;
• Bewertung des Brutto-Risikos;
• Erarbeitung von technischen und organisatorischen Risikominderungsvorschlägen;
• Bewertung des verbleibenden Netto-Risikos;
• Bewertung des IT Vorhabens aus der Sicht des IT Risikomanagements;
• Diskussion der Bewertung mit den betroffenen Fachabteilungen;
• Abgabe von Umsetzungsempfehlungen zu den IT Vorhaben;
• Review von Umsetzungsmaßnahmen;
• Steuerung der GRC Aktivitäten manuell und mittels Tool - Unterstützung (SAP GRC);
• Prüfung der Anwendbarkeit und Vollständigkeit der IT SecurityPolicies, Security Instructions, Hardening Guidelines etc.

* Mitwirkung an der Überarbeitung der internen IT-Service Management (ITSM) Richtlinien gem. ITIL und ISO20000.

• IT Security Policies und Security Instructions;
• Cloud Computing Security (z.B. AWS, Azure, CASB);
• DevOps und DevSecOps;
• IT/OT Security und Datenschutz;
• MES-, ERP-, CRM-Systeme;
• PLM-, MFT- und EDI-Systeme.

Mitwirkung an der Prüfung und Verbesserung des innerbetrieblichen Risikomanagements und der Compliance beim Softwareeinsatz:
- Prüfung von Test- und Entwicklungswerkzeugen auf:

• Mitbestimmungspflichtigkeit gem. §87, Abs. 1, No, 6 BetrVG,
• Einhaltung der Vorgaben nach DSGVO (GDPR),
• Einhaltung der IT-Security Vorgaben bezüglich interner und externer RZ Plattformen (z.B. MS Azure, AWS);

- Erarbeitung von Risikoeinschätzungen auf der Grundlage von gefundenen Schwachstellen und Bedrohungsszenerien;

- Erstellung von Prüfberichten und Handlungsempfehlungen;

- Mitarbeit an der Überprüfung und Anpassung von IT Security Policies, IT Security Instructions, Hardening Guidelines;

- Kontrolle der Umsetzung von Handlungsempfehlungen.

- Interne Prüfung des SAP-Betriebes bezüglich:

• Übereinstimmung der SLAs mit den betrieblichen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit und Integrität,
• Umsetzung von Best-Practices im SAP-Betrieb,
• Umsetzung von Rollen und Rechten unter Anwendung der BSI-Empfehlungen,
• Erreichung der Business-Ziele bei der Neuausrichtung von SAP-Anwendungen/Migrationen,

- Erarbeitung von Folgemaßnahmen entsprechend der Audit-Ergebnisse;

- Review des internen IT Kontrollstandards (MICS (IT Security Policies, IT Security Instructions, Hardening Guidelines)).

- Durchführung von externen IT-/OT-Security- und Datenschutz-sowie kombinierten Audits (andere Compliance Sachverhalte wie z.B. EnWG §§6 ff.) zur Überprüfung der Umsetzbarkeit vorgeschlagener Prüfprogramme sowie zur Überprüfung der Angemessenheit der technisch-organisatorischen Maßnahmen:

• Sichtung von Rahmenverträgen und Leistungsscheinen, TOMs, Prozessbeschreibungen und Arbeitsanweisungen bezüglich des zu prüfenden Auftragsverarbeitungsverfahrens;
  Prüfung der internen und externen Verarbeitungsregister;
  
• Prüfung der Dokumentation zur Rechtmäßigkeit der Verarbeitungstätigkeiten;
• Interviews und Vor-Ort-Besichtigungen;
• Dokumentation von Feststellungen;
• Erarbeitung von Folgemaßnahmen;
  Erarbeitung von Auditberichten;
  Kontrolle der Umsetzung der Folgemaßnahmen.

- Mitwirkung am Entwurf eines dreistufigen generischen Prüfprogramms zur turnusgemäßen Prüfung von internen und externen Datenverarbeitungen (ADV):

• Ermittlung und Abgleich der Quellen zur Erfassung aller ADVs mit DSGVO-Bezug;
• Erarbeitung eines Klassifizierungsschemas für ADVs;
• Zuordnung verschiedener TOM-Kataloge zu den ADV-Klassen;
• Erarbeitung eines Vorgehens zur Ermittlung angemessener Stichprobengrößen;
• Erarbeitung eines kombinierten Prüfvorgehens aus Self-Assessment und Audit zur Prüfung der Stichproben;
• Erarbeitung eines Vorgehens zur Auswahl der Auditkandidaten für die jährliche Stichprobe;
• Abschätzen des benötigten Ressourcenbedarfes zur Umsetzung des Auditprogramms. 

Mitarbeit an der Bearbeitung der IT-Sicherheits- und Datenschutzbelange im Zusammenhang mit einem geplanten Austausch der Core-IT Systeme :

• Prüfung der internen IT-Sicherheits- und Datenschutzleitdokumente auf Vollständigkeit und Anwendbarkeit für das Vorhaben;
• Prüfung der IT-Vorhaben auf Abdeckung durch externe/interne datschutzrechtliche Vereinbarungen (Datenschutzerklärungen, Betriebsvereinbarungen);
• Prüfung des Verzeichnisses der Verarbeitungstätigkeiten bezüglich Abeckung von geplanten bzw. anzupassenden Verarbeitungstätigkeiten;
• Prüfung von IT-Vorhaben auf DSGVO-konforme Abdeckung der Rechte der betroffenen Personen;
• Prüfung der technischen und organisatorischen Planungsdokumente auf Übereinstimmung der mit den internen und externen/regulatorischen Anforderungen in Bezug auf Vertraulichkeit, Verfügbarkeit, Authentizität;
• Ableitung, Abstimmung und Dokumentation von Klarstellungs- und Anpassungsbedarf in Planung und Dokumentation der IT-Vorhaben mit Blick auf regulatorische Vorgaben (KritisV, DSGVO);
• Prüfung des Umsetzungsstandes der Anpassungsmaßnahmen.

- Audit von z/OS Mainframe Security Controls: 

• Abstimmung des Audit-Inhaltes und der Prüfungsberichte mit der Innenrevision (Risiko-Management);
• Prüfung der REXX/SQL-Script basierten z/OS Sicherheitsprüfungen;

• Prüfung Job-Control-Flies (JCLs);
• Prüfung der Änderungshistorie der Prüfscripte und Job-Control-Files;
• Prüfung Ausführungsnachweise für die Prüfscripte;
• Prüfung der Archivierung und der Nachvollziehbarkeit der Sicherheitsprüfungsergebnisse;
• Prüfung des Änderungsprozesses für z/OS Sicherheitsprüfungen.

- Technisch-Organisatorische IT-Sicherheitsprüfung E-Mail Archivierung:

• Abstimmung des Audit-Scope mit dem CISO der Bank bezüglich der Prüfungsbereiche Vertraulichkeit, Verfügbarkeit und Integrität;
• Erarbeitung und Abstimmung spezifischer technischer und organisatorischer Security-Controls aus der technischen Service-Dokumentation mit Focus auf technische und organisatorische Fragestellungen sowie die Einbindung in das Risiko-Management der Bank und des IT-Dienstleisters;
• Prüfung der Dokumente und Nachweise;
• Durchführung von organisatorischen und technischen Sicherheitstests;
• Erstellen von Audit-Berichten und Ableitung von Folgemaßnahmen.

Datenschutzprüfung der technischen und organisatorischen Konzepte zum EU-weiten Datenaustausch von Patientendaten mit seltenen oder/und komplexen Erkrankungen unter Nutzung der eHealth-DSI (CEF-2015, 2017).
- Erarbeitung von technischen und organisatorischen Anpassungsmaßnahmen zur Sicherstellung der Konformität der IT-Lösungen mit nationalem Recht und EU-Recht.

- Prüfung der Anwendbarkeit und Auswirkungen der BSI-KritisV (BSI-G/EnWG) auf den Betrieb des Virtuellen Kraftwerks in den Bereichen der Regelenergie und erneuerbaren Energien (Wind, PV, Bio-Gas);
- Prüfung der IT-/OT-Sicherungsmaßnahmen der virtuellen Kraftwerksinfrastruktur entlang Anforderungen der Netzbetreiber (TSOs) wie Netzsegmentierung und -separierung, Verschlüsselung, Backup and Recovery / Disaster Recovery;
- Prüfung der verteilten Prozessdatenverarbeitung auf Konformität mit dem BSDG und der DSGVO;
- Prüfung der horizontalen Continuous Development / Continuous Deployment Prozesse (Scrum, Kanban);
- Prüfung der vertikalen Implementierungsprozesse für Fachprojekte im Bereich Steuerung von Regelenergie Assets wie Windkraft-, Solar- und Biomasse-Anlagen und Batteriespeicher  (PRINCE2 Agil);
- Prüfung der Software-Entwicklungs- und Testprozesse;
- Erarbeitung und Prüfung vor Folgemaßnahmen zur Anpassung des ISMS.

- Unterstützung des Line-Managements.

Assessments in den Bereichen Programm- und Projektmanagement, IT- und Business-Strategie-Konformität, IT-Service und IT Security Management.

- Programm- und Projektmanagement:  

• Prüfung von IT-Programmen und IT-Projekten auf die Einhaltung der Bank internen Richtlinien "Project Process Standard" (PPS) und "Financial Reporting Governance Board" (FGB):

       * Ausrichtung auf die Geschäfts- und IT-Strategie,

       * Ausrichtung auf die Architekturgrundsätze und den
     ?Geschäftsnutzen,
       * Vollständigkeit und Plausibilität der Planungsunterlagen,
     ?die Bereitstellung/Verfügbarkeit der erforderlichen Ressourcen,
       * Einhaltung der regulatorischen Vorgaben;

• Erarbeitung und Prüfung von Audit-Folge- und Risikomanagement-Maßnahmen resultierend aus internen und externen Audits (KWG, MAS, SOX/FFIEC);

- IT- und Business-Strategie-Konformität:  

• Prüfung der IT-Architekturstrategie gegen Direct-Channel-Business-Strategie;
• Erarbeitung und Prüfung von Anpassungsmaßnahmen;

- IT-Service Management:

• Interne Vorbereitungs-Assessments zur ISO 20000 Rezertifizierung;
• Interne Prüfung der Einhaltung des IT-Securiy-Managementprozesses in der IBM Mainframe Softwareentwicklung;
• End-to-End IT-Architekturprüfung bezüglich der Mainframe basierten Transaktionssysteme (SWIFT);

-  IT-Security Management:

• Review der Quality- und Security-Gates des internen Solution Development Life Cycles (SDLC) mit Focus auf IBM-Mainframe- und VMS-Systeme;
• Erarbeitung und Prüfung von technischen und organisatorischen Folgemaßnahmen (z.B. IT Security Policy, IT Security Instructions, IT Security Controls, Datenschutzanweisungen und Controls) im Rahmen des ISMS.

- Prüfung von IT unterstützten Prozessen in den Bereichen Personal und Lieferanten auf die Einhaltung der Anforderungen nach BDSG und ISO 27001/BSI;
- Schnittstellen-Prüfung von IT-Services und Business-Prozessen;
- Prüfung des Berechtigungskonzeptes;

- Durchführung und Auswertung von organisatorischen und technischen Sicherheitstest/Penetration-Tests;
- Erarbeitung und Prüfung von technischen sowie organisatorischen Anpassungsmaßnahmen.

- Prüfung der technischen und organisatorischen Prozesse des Cloud-Computing-Segmentes mit Ziel der Prozess- und Produktionskostenverbesserung und Fokus auf die Bereiche Change-Management, (Component-/Service-) Capacity-Management, Configuration-Management, Deployment-Management, Demand- und Forecast-Management unter Beachtung der internen und externen Compliance-Vorgaben für Availability- und Service-Continuity-Management sowie Risk- und Security-Management;

- Erarbeitung und Prüfung von Folgemaßnahmen zur Optimierung von Planungs- und Projektsteuerungsprozessen der Cloud-Factory;

- Prüfung der externen Kommunikationsprozesse auf Konformität zu den europäischen Datenschutzbestimmungen und den Datenschutzbestimmungen der EU-/EFTA-Mitgliedsstaaten;

- Dokumentation der Tool-Unterstützung der End-to-End Prozess-/Service-Designs.
- Prüfung der Einhaltung der Software-Entwicklungsprozesse (RUP-Artefakte);
- Prüfung der IT-Sourcing-Strategien.
- Reifegradermittlung der Business-Prozesse und IT-Services (CMMI).

- Erarbeitung und Prüfung von IT-Anpassungsmaßnahmen (z.B. Application Orchestration) zur Effizienzverbesserung der Tool-Chains.

- Risikoabschätzung (finanziell/technisch) und Business-Case Berechnungen für Anpassungsmaßnahmen.

- Service-Improvement-Management im TSI Cloud Computing (AppCom) und Big-Deal-Management (Outsourcing):

• Analyse, Dokumentation und Anpassung der internen Businessprozesse, und Arbeitsanweisungen sowie Kommunikationsstrukturen und Tools;
• Ausrichtung der internen Business- und Engineering-Prozesse am ITIL V.3 Prozessmodell (involvierte ITIL v.3 Prozesse: Capacity-, Configuration-, Change- und Availability Management);
• Bestimmung der Prozessreifegrade (CMMI) und der Prozessrisiken (ISO/IEC27005);
• Rollen- und Schnittstellenbeschreibung der internen Workflows unter Einbeziehung der kooperierenden Einheiten wie Produktionsplanung (PP), RZ Infrastructure Architecture Services (IAS) und Dynamic Platform Operating Teams (DPOT);
• Schnittstellenfunktion zu parallel laufenden Service-Improvement-Projekten in anderen Einheiten wie ?Standard-Forecast-Procedures? und ?Change-Management-Improvement?;
• Erarbeitung eines Standard-Team-Layout und Berechnung der erforderlichen Team-Größen;
• Erarbeitung von Vorschlägen zur Team-Reorganisation in Anlehnung an geänderte Workflows;
• Erarbeitung der Standard Operational Procedures (SOP) unter Berücksichtigung relevanter IT-Service und IT-Security Management Standards (ISO 20000, ISO 27001);
• Erstellung von Schulungsmaterial und Training von in Malaysia, UK, den Niederladen, der Schweiz sowie in Deutschland tätigen DPPT-Teams bezüglich der Businessprozess- und Servicemodelle;
• Mitwirkung an internen Assessments und Audits.

- Mitwirkung an Bieterverfahren und Wettbewerbsphasen Request for Information (RfI), Request for Proposal (RfP), Letter of Intent (LoI), Due Diligence (DD) für Cloud Services, IT-Hosting, DC-Outsourcings.
- Risikoabschätzung (finanziell/technisch) und Business-Case Berechnungen für Anpassungsmaßnahmen.

- Assistenz für das Line-Management.