• Als höchste Instanz zuständig für weltweite Informationssicherheit sowie Steuerung und Leitung des projekthaften Aufbau seines angemessenen Informationssicherheitsniveaus und des ISMS für > 24.000 Mitarbeitende in ca. 120 Ländern
• Prozessaufbau des kontinuierlichen Verbesserungsprozess (KVP) und Durchführung der kontinuierlichen Verbesserung hinsichtlich Sicherheitsmaßnahmen sowie Prozesse und Verfahren wie das Informationssicherheits-Risikomanagement
• Begleitung sowie Validierung der Schutzbedarfsanalysen der Fachbereiche
• Identifikation, Management Reporting, Steuerung und Überwachung der unternehmensweiten IT- und Informationssicherheitsrisiken
• Einführung eines GRC-Tools zur Unterstützung der ISMS-Prozesse inkl. InfoSec Risikomamagement, InfoSec Audit und InfoSec Incident Management
• Aufbau und Dokumentation zum Vorfalls Management und Melde-Prozess sowie Steuerung kritischer Informationssicherheits-Vorfälle/Incidents
• Definition des ISMS-Geltungsbereichs bzw. Aufnahme Informationsverbund sowie Durchführung Strukturanalyse und Schutzbedarfsanalyse
• Konzeptionelle Anforderungen an den Aufbau des Asset Inventars und einer Datenbank zum Configuration Management (CMDB) sowie Validierung der Inhalte
• Aufbau und Beratung zu Drittparteien- und Dienstleistermanagement
• ·        Mitglied im unternehmensweiten Krisenstab zur Behandlung von Krisen und schwerwiegenden Notfällen
• Steuerung der Projektleitung zum ISMS-Aufbau sowie Restrukturierung der Projektorganisation sowie Neuplanung des Vorgehens für den Aufbau und Weiterentwicklung der Informationssicherheit und des globalen ISMS
• Aufbau und Durchführung des Informationssicherheit-Compliance-Prozesses zur Identifikation, Analyse und Überwachung der Umsetzung von gesetzlichen und vertraglichen Vorgaben
• Erstellung und Aktualisierung von Richtlinien, Regeln, Vorgaben und ISMS-Prozessen
• Erstellung und Weiterentwicklung der Informationssicherheitsstrategie und -ziele und dazu unter anderem DORA-Analyse um Trends aus der Finanzindustrie im Rahmen der Strategie frühzeitig zu identifizieren
• Beratung, Begleitung, Koordination und Überwachung der Umsetzung von Sicherheitsmaßnahmen
• Aufbau und Durchführung des Informationssicherheits-Audit-Prozess und Durchführung weltweiter Sicherheitsaudits sowie Abstimmung von Prüfungsergebnissen und Behebungsmaßnahmen
• ISMS-Betrieb inkl. Weiterer Prozesse wie Informationssicherheits-Governance, Berichterstattung an Vorstand und Aufsichtsrat, Stakeholdermanagement mit regelmäßigem Austausch und Abstimmungen mit den betroffenen Fachbereichen, Schulungs- und Sensibilisierungs-Maßnahmen für Mitarbeiter zur Informationssicherheit uvm.

Zielsetzung

Herstellen und Aufrechterhalten eines angemessenen IT- und Informations-Sicherheitsniveaus sowie einer Zertifizierungsreife nach BSI IT-Grundschutz (Deutschland) und ISO/IEC 27001 (weltweit)

Erreichung KaMaRisk- und KAIT-Compliance (und damit in etwa 50-60% der DORA-Anforderungen)

Set-Up-Phase

• Zielbild für KAIT-Anforderungs-Kategorien definieren (Ambitionsniveau)
• Programm-Setup unter Berücksichtigung des Ambitionsniveaus inkl. Risikomanagement, Dienstleistermanagement und IT-Governance und der F1/F2-Moniten
• Maßnahmen zu Behebung festlegen (auf Basis Marktstandard, Best-Practice und Markterfahrung zu BaFin-Feststellungen und ?Anforderungen und somit Abdeckung von ca. 50-60% der DORA-Anforderung)
• Berücksichtigung von Abhängigkeiten der Maßnahmen untereinander sowie zu laufenden und geplanten Aktivitäten des Kundens
• Definition/Konkretisierung von Behebungsaufwänden (intern/extern) für definierte Maßnahmenpakete
• Risikoorientierte Aufwands-/Nutzenbetrachtung der Maßnahmenpakete
• Umsetzungsplan aufstellen ?Quality Gates? & ?Quality Review?
• Definition von Anforderungen
• Gliederung/Strukturierung und Erstellung der erforderlichen Policies, Dokumente, Aktivitäten und/oder Strukturen
• Vorschlägen auf Basis von Benchmarks und ?Better Practices? aus anderen Projekten
• Kontinuierliche Koordination, Überwachung und Qualitätssicherung der Konzeption sowie Umsetzungsberatung durch ?Quality Gates? und ?Quality Reviews? dabei regelmäßiger Austausch mit den Fachbereichen und Beratung dieser
• Moderation diverser Workshop in den einzelnen Phasen

IT-Prüfungsmandaten (Jahresabschlussprüfungen, Fondsprüfungen, ISAE 3402, projektbegleitende Prüfungen, Übernahme der internen IT-Revision, Durchführung von IT-Sonderprüfungen gemäß § 44 KWG im Auftrag der Aufsicht) (KPMG) 

Aufgaben

• Planung der IT-Prüfungen
• Steuerung und Leitung der IT-Prüfungsleiter
• Review und Qualitätssicherung
• Berichtserstattung an die Unternehmensleitung
• Stakeholdermanagement 

Zielsetzung 

Prüfung von IT-Systemen und -Prozessen im Rahmen von Jahresabschlussprüfung, IT-Fondsprüfungen, Prozessprüfungen, ISAE 3402, interne ITRevisionsprüfungen, IT-Sonderprüfungen für die Aufsicht inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund und CMBD sowie IT-Governance 

Jährliche ISAE 3402-Bescheinigung zur Compliance des Rechenzentrumsbetriebs sowie ISAE 3000- Bescheinigung zur Erfüllung von datenschutz-rechtlichen Anforderungen (BDSG, DSGVO) (KPMG)

Aufgaben:

• Qualitätssicherung der definierten Control Frameworks inkl. Risikomanagement, Dienstleistermanagement und IT-Governance auf Angemessenheit hinsichtlich Compliance zu regulatorischen und vertraglichen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control auf Angemessenheit und operative Effektivität
• Erstellung einer Bescheinigung und eines Management Letters mit Empfehlungen an die Unternehmensleitung

Zielsetzung 

Bescheinigung der Compliance hinsichtlich regulatorischer und vertraglicher Anforderung an den Rechenzentrumsbetriebs inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement und IT-Governance sowie hinsichtlich Anforderungen an datenschutzrechtliche Anforderungen (BDSG, DSGVO) 

• Durchführung GAP-Analyse inkl. Risikomanagement, Dienstleistermanagement und IT-Governance (Aufnahme Ist-Stand, Definition Soll-Stand, Definition von  GAPs)
• Bewertung der Findings unter Anwendung einer BAIT-, VAIT- und KAIT-Feststellungsdatenbank aus aufsichtlichen Sonderprüfungen gem. § 44
• Aufsetzen eines risikoorientierten Grob-Maßnahmenplans unter Berücksichtigung von Marktstandards und BestPractices
• Moderation diverser Workshop und regelmäßiger Austausch mit den Fachbereichen
• Berichterstattung für Leitungsebene

Zielsetzung 

Identifikation von GAPs hinsichtlich MaRisk- und BAIT-, VAITsowie KaMaRisk- und KAIT-Compliance (welche 50-60% der DORA-Anforderungen abdeckt) und Bewertung von Findings

Jährliche ISAE 3402-Bescheinigung zur MiFID 2- Compliance und Compliance des des Rechenzentrumsbetriebs (KPMG) 

• Qualitätssicherung der definierten Control Frameworks auf Angemessenheit hinsichtlich Compliance zu regulatorischen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control Frameworks auf Angemessenheit und operative Effektivität
• Erstellung jeweils einer Bescheinigung und jeweils eines Management Letters mit Empfehlungen an die Unternehmensleitung

Zielsetzung

Bescheinigung der Compliance hinsichtlich regulatorischer Anforderung zu MiFID 2 sowie an den Rechenzentrumsbetriebs

Halbjährliche ISAE 3000-Bescheinigung zum globalen Business Continuity Planning und Management (KPMG) 

• Qualitätssicherung des definierten Control Frameworks auf Angemessenheit hinsichtlich Compliance zu regulatorischen und vertraglichen Anforderungen
• Readiness Check vor Erstbescheinigung
• Prüfung des Control Frameworks auf Angemessenheit und operative Effektivität
• Erstellung einer Bescheinigung und eines Management Letters mit Empfehlungen an die Unternehmensleitung

Zielsetzung 

Bescheinigung der Compliance hinsichtlich regulatorischer und vertraglicher Anforderung an das globalen Business Continuity Planning und Management inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, sowie Notfallmanagement und -übungen.

IT-Governance, -Risk und -Compliance-Beratung zu MaRisk und BAIT sowie KaMaRisk und KAIT (KPMG)

• Überwachung, Koordination sowie Statusreporting risikoorientierte Massnahmenumsetzungsplanung
• Konzeptionelle Beratung und Umsetzung von Massnahmen zur Monitenbehebung
• Qualitätssicherung für umgesetzte Massnahmen

Zielsetzung

Behebung von Moniten aus einer aufsichtlichen Sonderprüfung gem. §44 KWG inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund undCMBD sowie IT-Governance

• Aufnahme Ist-Situation
• Fachliche und regulatorische Anforderungsanalyse
• Ableitung von allgemeinen Anwendungsfällen
• Bewertung des Migrationspotentials
• Identifikation von kundenspezifischen Einsatzszenarien 

Zielsetzung

Ableitung von Cloud-Anwendungszenarien für MS Azure/  Office 365 und Migrationspotential unter Berücksichtigung von regulatorischen Anforderungen (MaRisk und KaMaRisk)

• Beratung im Rahmen des Sounding Boards für definierte Behebungs-Massnahmen inkl. Risikomanagement, Drittparteien- und Dienstleistermanagement, Informationssicherheit mit Informationsverbund und CMDB sowie IT-Governance
• Qualitätssicherung für umgesetzte Massnahmen zur Behebung von Aufsichts-Moniten
• Statusreporting an Programmleitung 

Zielsetzung 

Abarbeitung von aufsichtlichen Moniten und Compliance mit aufsichtlichen Anforderungen (MaRisk) 

Leitung und Durchführung einer Vielzahl an IT- Sicherheitsaudit wie IT-Prüfungen nach SOX, JAP, Fonds, SAS 70, ISAE 3402, interne IT-Revision, aufsichtliche Sonderprüfung gem. §44 KWG (KPMG)

• Prüfungsleitung diverser Prüfungen mit mehreren Teams und 20 Prüfern
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404 und Berichtserstellung
• Prüfung von IT-Systemen, IT-Kontrollen und IT-Prozessen im Rahmen der Jahresabschluss- und Fondsprüfung und Berichtserstellung
• Prüfung von Prozessen, Kontrollen und IT-Systemen im Rahmen von SAS 70-Prüfungen und Berichtserstellung 

Zielsetzung 

Prüfung von IT-Systemen und Prozessen im Rahmen von Jahresabschlussprüfung, SOX Sec. 404 IT-Audit, SAS 70 für Asset Manager, Prozessprüfungen, IT-Fondsprüfungen inkl. Risikomanagement, Dienstleistermanagement, Informationssicherheit mit Informationssicherheit und CMBD sowie IT-Governance

• Aufnahme und Dokumentation von IT-Prozessen und IT-Kontrollen
• Bewertung von IT-Prozessen und IT-Kontrollen gemäß Capability Maturity Model Integration (CMMI)
• Empfehlungen zur Prozess- und Kontrolloptimierung

Zielsetzung

Reifegrad-Bewertung von IT-Prozessen und IT-Kontrollen nach CMMI inkl. Risikomanagement, Dienstleistermanagement und IT-Governance 

• IT-Prüfungsleitung eines Teams von 12 IT-Prüfer*innen
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen der Jahresabschlussprüfung 

Zielsetzung 

IT-Jahresabschlussprüfung und SOX Sec. 404 IT-Audit inkl. Risikomanagement, Dienstleistermanagement und ITGovernance

• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen von SOX Sec. 404
• Prüfung von IT-Systemen und IT-Kontrollen im Rahmen der Jahresabschlussprüfung

Zielsetzung 

IT-Jahresabschlussprüfung und SOX Sec. 404 IT-Audit inkl. Risikomanagement, Dienstleistermanagement und ITGovernance