GAP-Analyse und Umsetzungsplanung IT-IKS unter Berücksichtigung gängiger Standards und regulatorischer Anforderungen wie DORA 

• Arbeitspaketleitung und Beratung für die Weiterentwicklung des IT-IKS inkl. ITSM, Governance und Verfahren zur Weiterentwicklung des IT-IKS sowie der internen IT-Kontrollen und IT-Prozesse
• Festlegung des Soll-Zustands, Aufnahme des IstZustands, Ermittlung von GAPs sowie Festlegung von Umsetzungsmaßnahmen für Governance und Verfahren zur Weiterentwicklung des IT-IKS sowie der internen ITKontrollen und der IT-Prozesse selbst
• Erstellung einer Umsetzungs-Road-Map sowie Festlegung der Umsetzungs-Projektstruktur 

Umsetzung der DORA-Anforderungen für das IKTRisikomanagement mit Schwerpunkt auf Schwachstellen und Patch Management sowie Test Management und IKT-Änderungsmanagement 

• Arbeitspaketleitung für die aufgeführten Themengebiete inkl. Abstimmung zur Gesamtprojektleitung sowie Direktabstimmung mit Geschäftsleitung und Leitungsebene 1
• Definition des Soll-Zustands, Aufnahme des Ist-Zustands sowie Festlegung von Umsetzungsmaßnahmen für das IKT-Risikomanagement mit Schwerpunkt auf Schwachstellen und Patch Management sowie Test Management und IKT-Änderungsmanagement
• Definition von Richtlinien und Verfahren, Festlegung von zugehörigen Verantwortlichkeiten und Prozessen
• Leitung Umsetzungsprojekt zur Optimierung der Patch Management-Verfahren u. -Prozesse (u.a. Linux, Oracle)
• Abstimmung mit der internen IT-Revision sowie der internen IT-Compliance
• Erstellung des Wirksamkeitsnachweises 

Umsetzung der DORA-Anforderungen für die gruppenweite IT Security-Einheit das IKTRisikomanagement mit Themen wie IKTVorfallsmanagement, Schwachstellen- und Patch Management, Dienstleistermanagement, IKT-Asset Management u.a. 

• Unterstützung Teilprojektleitung für TPs in Verantwortung der gruppenweiten IT Security-Einheit
• Definition des Soll-Zustands, Aufnahme des Ist-Zustands sowie Festlegung von Umsetzungsmaßnahmen für das Patch Management, IKT-Asset Management sowie IKT- Vorfallsmanagement
• Konzeption des neuen IKT-VorfallsmanagementVerfahrens (Prozesse, Kontrollen,?) inkl. Meldverfahren und Zusammenarbeit mit 2nd Line und anderen Einheiten sowie Unterstützung der 2nd Line bei Definition der Richtlinie zum IKT-Vorfallsmanagement
• Erstellung weitergehende Umsetzungsplanung für das Patch Management und IKT-Asset Management
• Operationalisierung des IKT-Vorfallsmanagements
• Mitarbeit im Rahmen des Arbeitspakets Management von IKT-Drittparteienrisiken 

IT-Prüfung für die interne Revision mit Schwerpunkt auf Drittdienstleistungsmanagement, ITÜberwachung, Compliance Management sowie Vorbereitung auf IT-Sonderprüfung gemäß BAIT bei gleichzeitiger Berücksichtigung von DORA 

• IT-Prüfungsleitung und Prüfung für die interne Revision mit Schwerpunkt auf Drittdienstleistungsmanagement/Outsourcing, IT-Überwachung und Compliance Management gemäß BAIT unterBerücksichtigung von DORA
• Prüfung verschiedener IT-Kontrollen und -Prozessen gemäß BAIT unter Berücksichtigung von COBIT, ITSM und DORA
• Leitung des Projekts zur Analyse des Ist-Zustands in Bezug auf BAIT-Anforderungen in Vorbereitung einer IT-Sonderprüfung gemäß §44 KWG unter Berücksichtigung aufkommender DORA-Anforderungen
• Leitung des Projekts zur Weiterentwicklung des Aufbaus der Internen IT-Revision inkl. Aktualisierung des Prüfungsuniversums und der Prüfungsmethodiken

• Als höchste Instanz zuständig für weltweite Informationssicherheit sowie Steuerung und Leitung des projekthaften Aufbau seines angemessenen Informationssicherheitsniveaus und des ISMS für > 24.000 Mitarbeitende in ca. 120 Ländern
• Prozessaufbau des kontinuierlichen Verbesserungsprozess (KVP) und Durchführung der kontinuierlichen Verbesserung hinsichtlich Sicherheitsmaßnahmen sowie Prozesse und Verfahren wie das Informationssicherheits-Risikomanagement
• Begleitung sowie Validierung der Schutzbedarfsanalysen der Fachbereiche
• Identifikation, Management Reporting, Steuerung und Überwachung der unternehmensweiten IT- und Informationssicherheitsrisiken
• Einführung eines GRC-Tools zur Unterstützung der ISMS-Prozesse inkl. InfoSec Risikomamagement, InfoSec Audit und InfoSec Incident Management
• Aufbau und Dokumentation zum Vorfalls Management und Melde-Prozess sowie Steuerung kritischer Informationssicherheits-Vorfälle/Incidents
• Definition des ISMS-Geltungsbereichs bzw. Aufnahme Informationsverbund sowie Durchführung Strukturanalyse und Schutzbedarfsanalyse
• Konzeptionelle Anforderungen an den Aufbau des Asset Inventars und einer Datenbank zum Configuration Management (CMDB) sowie Validierung der Inhalte
• Aufbau und Beratung zu Drittparteien- und Dienstleistermanagement
• Mitglied im unternehmensweiten Krisenstab zur Behandlung von Krisen und schwerwiegenden Notfällen
• Steuerung der Projektleitung zum ISMS-Aufbau sowie Restrukturierung der Projektorganisation sowie Neuplanung des Vorgehens für den Aufbau und Weiterentwicklung der Informationssicherheit und des globalen ISMS
• Aufbau und Durchführung des Informationssicherheit-Compliance-Prozesses zur Identifikation, Analyse und Überwachung der Umsetzung von gesetzlichen und vertraglichen Vorgaben
• Erstellung und Aktualisierung von Richtlinien, Regeln, Vorgaben und ISMS-Prozessen
• Erstellung und Weiterentwicklung der Informationssicherheitsstrategie und -ziele und dazu unter anderem DORA-Analyse um Trends aus der Finanzindustrie im Rahmen der Strategie frühzeitig zu identifizieren
• Beratung, Begleitung, Koordination und Überwachung der Umsetzung von Sicherheitsmaßnahmen
• Aufbau und Durchführung des Informationssicherheits-Audit-Prozess und Durchführung weltweiter Sicherheitsaudits sowie Abstimmung von Prüfungsergebnissen und Behebungsmaßnahmen
• ISMS-Betrieb inkl. Weiterer Prozesse wie Informationssicherheits-Governance, Berichterstattung an Vorstand und Aufsichtsrat, Stakeholdermanagement mit regelmäßigem Austausch und Abstimmungen mit den betroffenen Fachbereichen, Schulungs- und Sensibilisierungs-Maßnahmen für Mitarbeiter zur Informationssicherheit uvm.

Zielsetzung

Herstellen und Aufrechterhalten eines angemessenen IT- und Informations-Sicherheitsniveaus sowie einer Zertifizierungsreife nach BSI IT-Grundschutz (Deutschland) und ISO/IEC 27001 (weltweit)

Transparenz über Status zu DORA-Umsetzung und Informationssicherheit/ISMS, Identifikation offener Maßnahmen sowie Umsetzungsplanung

CISO-Coaching und Begleitung zu DORA und ISMS inkl.

• Erstellung Readiness-Fragebogen und DurchführungDORA-,  Drittdienstleistungs-/Outsourcing- und ISMSQuick Assessment
• Begleitung GAP-Analyse und Grob-Bewertung von Abweichungen
• Beratung zu und Definition angemessener Umsetzungsmaßnahmen (auf Basis Marktstandard, Best-Practice und Markterfahrung zu bisherigen BaFinBAIT-Feststellungen sowie ISO 27001:2022)
• Erstellung Umsetzungsprogramm und High-Level Umsetzungsplanung

• Projektleitung der KAIT-Umsetzungsberatung Set-Up-Phase
• Zielbild für KAIT-Anforderungs-Kategorien definieren (Ambitionsniveau)
• Programm-Setup unter Berücksichtigung des Ambitionsniveaus inkl. Risikomanagement, Outsourcing/Dienstleistermanagement und ITGovernance und der F3/F4 Moniten
• Maßnahmen zu Behebung festlegen (auf Basis Marktstandard, Best-Practice und Markterfahrung zu BaFin-Feststellungen und ?Anforderungen und somit Abdeckung von ca. 50-60% der DORA-Anforderung)
• Berücksichtigung von Abhängigkeiten der Maßnahmen untereinander sowie zu laufenden und geplanten Aktivitäten des Kundens
• Definition/Konkretisierung von Behebungsaufwänden (intern/extern) für definierte Maßnahmenpakete
• Risikoorientierte Aufwands-/Nutzenbetrachtung der Maßnahmenpakete
• Umsetzungsplan aufstellen ?Quality Gates? & ?Quality Review?
• Definition von Anforderungen
• Gliederung/Strukturierung und Erstellung der erforderlichen Policies, Dokumente, Aktivitäten und/oder Strukturen
• Vorschlägen auf Basis von Benchmarks und ?Better Practices? aus anderen Projekten
• Kontinuierliche Koordination, Überwachung und Qualitätssicherung der Konzeption sowie Umsetzungsberatung durch ?Quality Gates? und ?Quality Reviews? dabei regelmäßiger Austausch mit den Fachbereichen und Beratung dieser
• Moderation diverser Workshop in den einzelnen Phasen 

IT-Prüfungsmandaten (Jahresabschlussprüfungen, Fondsprüfungen, ISAE 3402, projektbegleitende Prüfungen, Übernahme der internen IT-Revision, Durchführung von IT-Sonderprüfungen gemäß § 44 KWG im Auftrag der Aufsicht) (KPMG) 

Aufgaben

• Planung der IT-Prüfungen
• Steuerung und Leitung der IT-Prüfungsleiter
• Review und Qualitätssicherung
• Berichtserstattung an die Unternehmensleitung
• Stakeholdermanagement 

Zielsetzung 

Prüfung von IT-Systemen und -Prozessen im Rahmen von Jahresabschlussprüfung, IT-Fondsprüfungen, Prozessprüfungen, ISAE 3402, interne ITRevisionsprüfungen, IT-Sonderprüfungen für die Aufsicht inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund und CMBD sowie IT-Governance 

• Leitung diverser Projekte zur Erstellung der Bescheinigungen nach ISAE 3402 und ISAE 3000
• Qualitätssicherung der definierten Control Frameworks inkl. Risikomanagement, IT-Notfallmanagement, Outsourcing/Dienstleistermanagement, BCM und IT Governance auf Angemessenheit hinsichtlich Compliance zu regulatorischen und vertraglichen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control auf Angemessenheit und operative Effektivität
• Erstellung einer Bescheinigung und eines Management Letters mit Empfehlungen an die Unternehmensleitung

• Projektleitung BAIT- und KAIT-Umsetzungsberatung Set-Up-Phase
• Zielbild für KAIT-Anforderungs-Kategorien definieren (Ambitionsniveau)
• Programm-Setup unter Berücksichtigung des Ambitionsniveaus inkl. Risikomanagement, Outsourcing/Dienstleistermanagement und IT- Governance und der F3/F4 Moniten
• Maßnahmen zu Behebung festlegen (auf Basis Marktstandard, Best-Practice und Markterfahrung zu BaFin-Feststellungen und ?Anforderungen)
• Berücksichtigung von Abhängigkeiten der Maßnahmen untereinander sowie zu laufenden und geplanten Aktivitäten des Kundens
• Definition/Konkretisierung von Behebungsaufwänden (intern/extern) für definierte Maßnahmenpakete
• Risikoorientierte Aufwands-/Nutzenbetrachtung der Maßnahmenpakete
• Umsetzungsplan aufstellen ?Quality Review?
• Projektbegleitende Koordination, Qualitätssicherung und Überwachung der Konzeption und Umsetzung in Form von beratender Durchführung von ?Quality Reviews? dabei regelmäßiger Austausch mit den Fachbereichen und Beratung dieser
• Moderation diverser Workshop in den jeweiligen Phasen

• Projektleitung der BAIT-, VAIT und KAIT-GAPAnalysen
• Durchführung GAP-Analyse inkl. Risikomanagement, Outsourcing/Dienstleistermanagement und IT Governance (Aufnahme Ist-Stand, Definition Soll-Stand, Definition von GAPs)
• Bewertung der Findings unter Anwendung einer BAIT-, VAIT- und KAIT-Feststellungsdatenbank aus aufsichtlichen Sonderprüfungen gem. § 44
• Aufsetzen eines risikoorientierten Grob-Maßnahmenplans unter Berücksichtigung von Marktstandards und BestPractices
• Moderation diverser Workshop und regelmäßiger Austausch mit den Fachbereichen
• Berichterstattung für Leitungsebene 

• Qualitätssicherung der definierten Control Frameworks auf Angemessenheit hinsichtlich Compliance zu regulatorischen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control Frameworks auf Angemessenheit und operative Effektivität
• Erstellung jeweils einer Bescheinigung und jeweils eines Management Letters mit Empfehlungen an die Unternehmensleitung

Halbjährliche ISAE 3000-Bescheinigung zum globalen Business Continuity Planning und Management (KPMG) 

• Qualitätssicherung des definierten Control Frameworks auf Angemessenheit hinsichtlich Compliance zu regulatorischen und vertraglichen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control Frameworks auf Angemessenheit und operative Effektivität
• Erstellung einer Bescheinigung und eines Management Letters mit Empfehlungen an die Unternehmensleitung

Zielsetzung 

Bescheinigung der Compliance hinsichtlich regulatorischer und vertraglicher Anforderung an das globalen Business Continuity Planning und Management inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, sowie Notfallmanagement und -übungen.

IT-Governance, -Risk und -Compliance-Beratung zu MaRisk und BAIT sowie KaMaRisk und KAIT (KPMG)

• Überwachung, Koordination sowie Statusreporting risikoorientierte Massnahmenumsetzungsplanung
• Konzeptionelle Beratung und Umsetzung von Massnahmen zur Monitenbehebung
• Qualitätssicherung für umgesetzte Massnahmen

Zielsetzung

Behebung von Moniten aus einer aufsichtlichen Sonderprüfung gem. §44 KWG inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund undCMBD sowie IT-Governance

• Aufnahme Ist-Situation
• Fachliche und regulatorische Anforderungsanalyse
• Ableitung von allgemeinen Anwendungsfällen
• Bewertung des Migrationspotentials
• Identifikation von kundenspezifischen Einsatzszenarien 

Zielsetzung

Ableitung von Cloud-Anwendungszenarien für MS Azure/  Office 365 und Migrationspotential unter Berücksichtigung von regulatorischen Anforderungen (MaRisk und KaMaRisk)

• Beratung im Rahmen des Sounding Boards für definierte Behebungs-Massnahmen inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund und CMDB sowie IT-Governance
• Qualitätssicherung für umgesetzte Massnahmen zur Behebung von Aufsichts-Moniten
• Statusreporting an Programmleitung 

Zielsetzung 

Abarbeitung von aufsichtlichen Moniten und Compliance mit aufsichtlichen Anforderungen (MaRisk) 

Leitung und Durchführung einer Vielzahl an IT- Sicherheitsaudit wie IT-Prüfungen nach SOX, JAP, Fonds, SAS 70, ISAE 3402, interne IT-Revision, aufsichtliche Sonderprüfung gem. §44 KWG (KPMG)

• Prüfungsleitung diverser Prüfungen mit mehreren Teams und 20 Prüfern
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404 und Berichtserstellung
• Prüfung von IT-Systemen, IT-Kontrollen und IT-Prozessen im Rahmen der Jahresabschluss- und Fondsprüfung und Berichtserstellung
• Prüfung von Prozessen, Kontrollen und IT-Systemen im Rahmen von SAS 70-Prüfungen und Berichtserstellung 

Zielsetzung 

Prüfung von IT-Systemen und Prozessen im Rahmen von Jahresabschlussprüfung, SOX Sec. 404 IT-Audit, SAS 70 für Asset Manager, Prozessprüfungen, IT-Fondsprüfungen inkl. Risikomanagement, Dienstleistermanagement, Informationssicherheit mit Informationssicherheit und CMBD sowie IT-Governance

• Aufnahme und Dokumentation von IT-Prozessen und IT-Kontrollen
• Bewertung von IT-Prozessen und IT-Kontrollen gemäß Capability Maturity Model Integration (CMMI)
• Empfehlungen zur Prozess- und Kontrolloptimierung

Zielsetzung

Reifegrad-Bewertung von IT-Prozessen und IT-Kontrollen nach CMMI inkl. Risikomanagement, Dienstleistermanagement und IT-Governance 

• IT-Prüfungsleitung eines Teams von 12 IT-Prüfer*innen
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen der Jahresabschlussprüfung 

Zielsetzung 

IT-Jahresabschlussprüfung und SOX Sec. 404 IT-Audit inkl. Risikomanagement, Dienstleistermanagement und ITGovernance

• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen der Jahresabschlussprüfung

Zielsetzung 

IT-Jahresabschlussprüfung und SOX Sec. 404 IT-Audit inkl. Risikomanagement, Dienstleistermanagement und ITGovernance