Europe: Available to all European countries, if remote work options available; 2-3 days onsite possible
1.Comprehensive set up and implementation of corporate ISMS, including strategy, organisation, governance, policy framework and awareness program
2.Apply P-D-C-A approach to ensure effective management, operation, maintenance and improvement of the ISMS
3.Ensure requirements and scope definition with regards to ISO 27001:2013
4.Run Maturity Assessment: Coordinate and align AS-IS, TO BE and GAP ANALYSIS
5.Ensure set up, alignment, coordination and running of relevant ISMS activities for set up & implementation
6.Management Consultancy & Reporting to Head of IT and Managing Director
7.Ensure ISO 27001:2013 Certification Audit Readiness 8.Develop and align implementation plan for ISMS roll-out (2020-2021)
9.Consider, align and manage (compliance) requirements with stakeholders, especially for GDPR
10.Build & train a team of Information Security experts with deep technical and governance skills
11.Ensure Management activities with regards to Security Boards, Project- and Program Management activities
1. Program and Projekt Management zur Entwicklung & Implementierung eines ISMS
2. Senior Management Verantwortung (direkte Berichtslinie an CIO & CFO)
3. Bereitstellung von Sicherheitsanweisungen für Unternehmen (Vorstands- und Organisationsebene)
4. Umfassende Entwicklung, Einrichtung und Implementierung eines unternehmensweites ISMS (einschließlich Strategie, Organisation, Governance, Richtlinien/Rahmenwerk und Sensibilisierungsprogramm)
5. Anwendung des P-D-C-A-Ansatzes zur Gewährleistung eines effektiven Managements, Betriebs, Wartung und Verbesserung des ISMS
6. Empfehlungen zur Strategische und taktische Risiko Management Ausrichtung bieten (in Bezug auf Risikominderung und präventiven Schutz von Vermögenswerten)
7. Entwickeln und einführen eines Risikobasierter Ansatz zur Priorisierung, Koordinierung und Verwaltung der Umsetzung von Kontrollen
8. Sicherstellung der Risikoidentifikation, -analyse und -minderung (um Verfügbarkeit, Vertraulichkeit und Integrität von Vermögenswerten zu gewährleisten)
9. Compliance-Anforderungen mit Stakeholdern abstimmen und diese im Rahmen des ISMS berücksichtigen (inkl. Datenschutz & DSGVO
10. Einrichten von Compliance- und Audit-Programmen zur Gewährleistung der Wirksamkeit der Sicherheitskontrollen
11. Aufbau/Schulung eines Teams von Experten für Informationssicherheit mit fundierten technischen und Governance-Kenntnissen
12. Sicherstellung von Managementaktivitäten in Bezug auf Budget-, Finanz- und Ressourcenplanung, Zeitmanagement und Kollaborationsmanagement
13. Sicherstellung eines kontinuierlichen Weiterentwicklung eines ISMS
14. Unterstützung aller Fachbereiche & Asset Owner zur Implementierung eines ISMS (gemäß Übersicht Skills) zur Abdeckung aller ISO 27001 Anforderungen (K. 4-10 und relevante Annex Kontrollen).
1.ISO 27001 & 9001 Certification Audit Preparation for certification ready-ness
2.Prepare, cooridinate, run workshops & training
3.Check and improve document / policy framework
4.Set up and run relevant Risk Assessments (including definition of Protection Level of Assets
5.Team Alignment relevant activities
6.Provide input with regards to ensure proper Maturity Assessment of the ISMS
1.ISMS: Develop and implement Corporate Information Security Management System (ISMS) Passenger Airlines: •Establish Governance Structure, framework (ISO 27001 Certification Audit ready), Policy & Procedures •Manage continuous improvement activities & KPI development •Conduct resource planning 2018 & project management activities
2.Asset Management: Ensure development of Asset Management Approach, Asset Register and control
3.Risk Management & BCM: Develop, establish and implement Information Security Risk Management Methodology & BCM Approach
4.Supplier Management & Audits: Define, establish and align Security Requirements, Performance and Compliance checks for Service Provider (approach, plan and measures)
5.Incident Management: Set up, align and coordinate implementation of incident response procedure and plan 6.Internal Audits: Define, develop and align Internal Audit Approach, program and plan 7.Support development and implementation of operational IT and Information Security Toolbox (to coordinate business activities, processes & compliance)
8.Liaise with interfacing departments, staff and Management
1.Outsourcing / Supplier Contract & Performance Management 2.Review contracts / SLA’s (& structure) & define Security Requirements & Measures
3.Define Information Security Ruleset and Criticality levels 4.Develop Supplier Compliance Monitoring approach & align with relevant departments
5.Develop Supplier Compliance Assessment Tools, documentation and questionnaires
6.Run contract assessments & develop Risk Treatment Plan 7.Develop Supplier Management & Monitoring Toolset, framework and structures
8.Manage Supplier Monitoring process
9.Close related BaFIN Finding Supplier Monitoring Management 10.Manage and develop Management Reporting
11.Team alignment Information Security, Governance, Risk and Compliance
12.Department alignment with Outsourcing, Legal and Business Continuity Management
13.Contract framework development & set-up
14.Summary: Manage Information Security in Contracts & Performance Management
15.Requirements definition: Based on ISO 27001:2013 and MaRisk
1.Project Management to set-up & ensure implementation of ISMS, policy framework and governance structure. 2.Requirements Definition and mapping of ISO 27001:2013 to VDA (German Association of Automotive Industry).
3.Incorporate VW requirements & consideration for ISO 27001 control framework.
4.Run AS-IS, TO BE and GAP ANALYSIS & VDA Level 3/ Maturity Level Assessment.
5.Project Management & assignment of project activities to Head IT (Division) & CIO
6.Management Consultancy & Reporting to CIO and Head of IT (incl. strategy development, set up & roll-out)
7.Prepare ISO 27001:2013 Certification Audit 8.Prepare integration international divisions (e.g. Austria, China & USA) 8.Coordination and run Internal Audit for 2 locations (Europe)
10. Preparation Customer Audits (VW)
11.Develop and align implementation plan for ISMS roll-out (2016 – 2018)
Branche: Finanzindustrie, Bank, Einzelhandel
Zeitraum: 2009 - 2015
Verantwortungsbereich: ISO 27001 / ISMS Management, Entwicklung, Implementierung, Consulting & Certification/Supplier/Customer Audits, ISO 22301 Business Continuity Management & ISO 31000 Risk Management Toolset Implementierung
Lokationen: Deutschland, Niederlande, Irland, UK, Norwegen
Auftraggeber: European Payments Services; Bank; Einzelhandel
-------------------------------
Projekthistorie:
Entwicklung, Einführung, Review und Weiterentwicklung eines Corporate Policyframeworks (Rahmen-/Richtlinenwerkes, inkl. Policen & Prozeduren)
Unterehmensweite Policyentwicklung, Abstimmung und Implementierung mit allen Fach- und Führungsebenen
Entwickeln einer unternehmensweiten Informationsplattform zur Sicherstellung der Verfügbarkeit Policyframeworks
Unterstützung der verschiedenen Unternehmensbereichen bei der Erstellung, Einführung und Umsetzung von Sicherheitsprozessen, -maßnahmen und ?kontrollen gemäß Richtlinien
Entwicklung, Einführung, Umsetzung, Weiterentwicklung und Überwachung eines firmenweiten Information Security Management Systems (ISMS) nach ISO 27001
Definition, Entwicklung, Einführung, Koordination und Implementierung von Kontrollinstrumenten und Massnahmen sowie deren beständige Weiterentwicklung
Sicherstellung der strategischen, taktischen und operationellen Weiterentwicklung und Anpassung zur Aufrechterhaltung und Überwachung des ISMS
Weiterentwicklung und Pflege des ISMS hinsichtlich 'Continous Improvements'
Überwachung und Überprüfung des ISMS hinsichtlich ISO 27001 interne und externe Compliance Anforderungen, Verstöße und Lücken bzw. Risiken.
Regelmäßige
Entwicklung, Einführung einer Unternehmensweiten eines Governance Modells (Informations Sicherheits Strategie, Governance und Management Struktur).
Internationale Zusammenarbeit, Abstimmung und Entwicklung der Strategie, von Unternemenszielen und Konzepten
Aufbau, Enführung und Organisation und Vorsitz von lokalen und internationalen Informationssicherheits Meetings (Local Advisory Board Information Secuirty & Global Information Security Committes)
Mitglied internationaler Committees ? Compliane / Business Continuity & Security ? zur Abstimmung
Managemes, Steuerung und Nachverfolgung von Informationssicherheit Aktivitäten
Beratung und Reportinglinie an das Management Board (Vorstand), CISO und COO
Erstellung und Implementierung eines Dokumentenmanagementsystems & einer einer internen Informationsplattform
Entwicklung und Erstellung SoA (Statement of Applicability)
Durchführung und Koordination von Management Review Aktivitäten
Unterstützung im Bereich Independent Reviews & Continuous Improvements ? zu folgenden Themen (im folgenden ausführlicher erläutert): Annual ISO 27001 (Re-) Certification Audit, Internal Audits, External Audits, Customer Audits, Supplier Audits and Assessments; Management von Continuous Improvement Aktivitäten:
Vorbereitung, Koordination und Durchführung einer ISO 27001 Erst-Zertifizierung eines Finanzunternehmens
Analyse & Aufnahme des Ist-Zustandes
Definition der Mindestanforderungen nach ISO 27001
Durchführung einer GAP-Analyse
Definition, Erstellung und Implementierung von Handlungsempfehlungen zum Schließen von 'GAPs' ? gemeinsam mit dem Fachbereich
Vorbereitung, Begleitung, Koordination und Sicherstellung jährlicher ISO 27001 Re-Zertifizierungen
Ansprechpartner für alle Unternehmensbereiche sowie externe Auditerungspartner
Unterstützung hinsichtlich Suveillance Audit
Unterstützung bei der Definition und Impelementierung von Handlungsempfehlungen und dem Schließen von Audit Findings
Nachbehandlung von Auditergebnissen zur Qualitätssicherung und zur Weiterentwicklung des ISMS
Vorbereitung, Begleitung, Koordination und Durchführung IT Supplier Audits eines IT Dienstleister hinsichtlich Physische Sicherheit
Konzeption und Entwiclung eines Fragebogens hinsichtlich Informationssicherheit und Business Contiunity ? gemeinsam mit dem Physical Security Officer
Auditierung eines Datencenters & der Back-Up Struktur
Auditierung Physische Sicherheit im gesamten Unternehmen vor Ort.
Kundenprojekt / Salesanfragen hinsichtlich Kunden- & (Pre-)Assessment Audits im Rahmen der Leadgenerierung und Kundenpflege
Projektansprechpartner und Bearbeitung von ISO 27001 Anfragen durch namhafte nationale und internationaler (potentielle) Großkunden des Bankenumfeldes
Unterstützung von Kundengesprächen und Vertragsverhandlungen für den Bereich Informationssicherheit
Bearbeitung, Koordination und Abstimmung der Kundenanfrage - gemeinsam mit den unternehmensweiten Fachbereichen, im Rahmen von Security Meetings
Bestimmung des ISO 27001 Ist-Zustandes und der Sicherstellung der kundengerechten Aufbereitung von Auswertungen
Beantwortung der Anfrage und Fragebögen
Konzeption, Entwicklung und Einführung eines 'Corporate E-Learning & Awareness Tools':
Definition und Erstellung eines Fachkonzeptes & Abstimmung / Anpassung auf Internationaler Ebene.
Providerauswahl zur technischen Unterstützung innerhalb des Unternehmens
Entwicklung, Einführung und Kommunikation des unternehmensweiten E-Learning Tools ? in verschiedenen Sprachen
Zusammenarbeit mit der Personalabteilung und Betriebsrat hinsichtlich Auswertung, Behandlung von erfolgreichen und unerfolgreichen Trainingsergebnissen.
Definition, Entwicklung und Implementierung weiterer Maßnahmen zur Mitarbeitersensibilisierung hinsichtlich Informationssicherheit.
Physische Zugangskontrolle: Beratung und Sicherstellung der Implementierung physischer Zutrittskontrolle.
Definition, Abstimmung und Einführung von Prozeduren zu Zugangskontrollen
Erstellung von Optionsdokumenten und Entscheidungsvorlagen für das Seniormanagement (Vorstand und CISO) hinsichtlich möglicher Massnahmen
Abstimmung und Entscheidung zur Implementierung von Drehtüren & Kartenlesegeräte
Koordination und Unterstützung der Fachabteilungen zur Sicherstellung der Implementierung physicher Zugangskontrollen.
Regeln von Verantwortlichkeiten am Empfangsschalter.
Implementierung weiterer Kontrollen: Clear Desk / Screen, Branschutz, Office Security, etc.
BYOD (Bring Your Own Devise): Durchführung, Koordination und Kommunikation einer Anforderungsanalyse zur Einführung von BYOD in Deutschland unter Berücksichtigung rechtlicher Aspekte an den BoD. Abstimmung mit allen Fachbereichen.
Unterstützung bei der Entwicklung, Einführung und Implementierung einer Unternehmensweiten Risiko Management Methodik, Risikostrategie und eines Risiko Modells auf strategischer, operativer und taktischer Ebene (Enterprise Risk Management Methodology)
Entwicklung und Unterstützung bei der Umsetzung von Lösungen und Instrumentarien zur zielgerechten Identifikation, Bewertung, Steuerung und Überwachung von Risiken.
Sicherstellung und Unterstützung bei der Identifikation, Analyse, Bewertung, Management und Kommunikation von Risiken auf Prozess, Projekt, Strategischer und Operativer Ebene.
Durchführung des jährlichen Risiko Bewertungs Prozesses, inklusive Auswertung von Auswirkungen und Erstellung von Maßnahmen Plänen zur Behandlung und Beseitigung von Risiken (Risk Assessment & Risk Treatment)
Erstellung von Instrumentarien zur Sicherstellung und zum Erhalt des angemessenen Schutzes von Informationen und Werten (Inventory of Assests & Data Classification Scheme)
Durchführung von Business Impact Assessments mit allen Bereichen
Vorbereitung, Entwicklung und Durchführung der Operativen Risikobewertung kritischer externer IT Dienstleister.
Konzeption und Entwiclung von Fragebögen zur Bewertung von Operativen und Informationsicherheits Risiken (ORAM: 'Operational Risk Assessemnt Methodology')
Durchführung, Analyse und Auswertung der Risk-Assessment
Definition, Verhandlung und Nachverfolgung von Handlungsmassnahmen mit dem Dienstleister
Anpassung von Vertragsvereinbarungen und Massnahmen / Kontrollen.
Management und Behandlung von Incidents & entsprechende Nachverfolgung zur Verbesserung und Vermeidung von Schäden (Incident Logs, Risk Assessment Incidents, Closure.
Unterstützung des Bereiches HR Security wie bspw. Entwicklung Screening procedures, Acceptable Use Policy, Confidentiality Agreements, Changers/Leavers Process, Disciplinary Process.
Unterstützung zum Themenbereich IT - / System Security (3rd Party Management, Change, Management, Segregations of duties concept, User Profiles, Validation Checks, System Planning and Acceptance Testing, Monitoring, Back-Up Management, Secure Disposal Process, Penetration Testing-, Vulnerability- and System Maintenance controls etc.)
Unterstützung des Bereiches Access- und Identitymanagement: User Access Management and Control Procedure (registration, identification / authentication, review), Access Right Structure / Profiles (RBAC ? Role-based Access Control) Authorisation Structure, Review & Reports, etc.
Unterstützung, Erstellung und Einführung eines Business Continuity Management Regelwerks gemäß ISO 27001
Unterstützung bei der Einführung eines unternehmensweiten Business Continuity Management Systems und Regelwerkes gemäß ISO 22301 und Abgleich zu ISO 27001
Internationale Projektunterstützung Salesdepartments bei (Vorverkaufs-)Aktivitäten zum Thema Bewertung Risikomangement System & Reifergrad des ISMS namhafter Großbanken (vor Ort).
Einführung von Maßnahmen und Kontrollen lokaler Business Continuity Pläne, Tests und Instandhaltungs Massnahmen zur Sicherstellung des Geschäftsbetriebs. Weitere Aktivitäten: Disaster Recovery, Crisis Management, Business Impact Assessments.
Unternehmensweite Erstellung und Konzepten eines 'Control Frameworks' zur Identifikation und Behandlung von internen und externen Compliance Anforderungen (Bsp. ISO 27001, PCI DSS, MaRisk, ITIL).
Qualifizierung:
Lead Auditor ISO 27001, University Krems Austria: 2010
Master Degree Business Studies, University of Applied Science Ludwigshafen: 1999
Information Security Management, M.I.S. Training Institute London UK
Fachkenntnisse:
Information Security Management
Governance, Risk & Compliance Consultant
Business Continuity Management - Implementation Consultant (ISO 22301 & ISO 27001)
- Vorbereiten, leiten, belgeiten und Sicherstellen von 27001 (Re-)Zertifierungen
- Durchführung & Management von 3rd Party / (IT) Supplier Audits
- Begleitung und Durchführung von Kunden Audits & Anfragen und Auswertungen
- Manage Internal & External Audit Requests (ISO 27001 & 22301)
- Unterstützung ISO 22301 Zertifizierungsaudit
- Durchführung 'Operational Risk Assessment Audits' für IT Suppliers (ISO 31000)
Auditor for Pre-Assessment Audit ISO 27001 & ISO 9001
Europe: Available to all European countries, if remote work options available; 2-3 days onsite possible
1.Comprehensive set up and implementation of corporate ISMS, including strategy, organisation, governance, policy framework and awareness program
2.Apply P-D-C-A approach to ensure effective management, operation, maintenance and improvement of the ISMS
3.Ensure requirements and scope definition with regards to ISO 27001:2013
4.Run Maturity Assessment: Coordinate and align AS-IS, TO BE and GAP ANALYSIS
5.Ensure set up, alignment, coordination and running of relevant ISMS activities for set up & implementation
6.Management Consultancy & Reporting to Head of IT and Managing Director
7.Ensure ISO 27001:2013 Certification Audit Readiness 8.Develop and align implementation plan for ISMS roll-out (2020-2021)
9.Consider, align and manage (compliance) requirements with stakeholders, especially for GDPR
10.Build & train a team of Information Security experts with deep technical and governance skills
11.Ensure Management activities with regards to Security Boards, Project- and Program Management activities
1. Program and Projekt Management zur Entwicklung & Implementierung eines ISMS
2. Senior Management Verantwortung (direkte Berichtslinie an CIO & CFO)
3. Bereitstellung von Sicherheitsanweisungen für Unternehmen (Vorstands- und Organisationsebene)
4. Umfassende Entwicklung, Einrichtung und Implementierung eines unternehmensweites ISMS (einschließlich Strategie, Organisation, Governance, Richtlinien/Rahmenwerk und Sensibilisierungsprogramm)
5. Anwendung des P-D-C-A-Ansatzes zur Gewährleistung eines effektiven Managements, Betriebs, Wartung und Verbesserung des ISMS
6. Empfehlungen zur Strategische und taktische Risiko Management Ausrichtung bieten (in Bezug auf Risikominderung und präventiven Schutz von Vermögenswerten)
7. Entwickeln und einführen eines Risikobasierter Ansatz zur Priorisierung, Koordinierung und Verwaltung der Umsetzung von Kontrollen
8. Sicherstellung der Risikoidentifikation, -analyse und -minderung (um Verfügbarkeit, Vertraulichkeit und Integrität von Vermögenswerten zu gewährleisten)
9. Compliance-Anforderungen mit Stakeholdern abstimmen und diese im Rahmen des ISMS berücksichtigen (inkl. Datenschutz & DSGVO
10. Einrichten von Compliance- und Audit-Programmen zur Gewährleistung der Wirksamkeit der Sicherheitskontrollen
11. Aufbau/Schulung eines Teams von Experten für Informationssicherheit mit fundierten technischen und Governance-Kenntnissen
12. Sicherstellung von Managementaktivitäten in Bezug auf Budget-, Finanz- und Ressourcenplanung, Zeitmanagement und Kollaborationsmanagement
13. Sicherstellung eines kontinuierlichen Weiterentwicklung eines ISMS
14. Unterstützung aller Fachbereiche & Asset Owner zur Implementierung eines ISMS (gemäß Übersicht Skills) zur Abdeckung aller ISO 27001 Anforderungen (K. 4-10 und relevante Annex Kontrollen).
1.ISO 27001 & 9001 Certification Audit Preparation for certification ready-ness
2.Prepare, cooridinate, run workshops & training
3.Check and improve document / policy framework
4.Set up and run relevant Risk Assessments (including definition of Protection Level of Assets
5.Team Alignment relevant activities
6.Provide input with regards to ensure proper Maturity Assessment of the ISMS
1.ISMS: Develop and implement Corporate Information Security Management System (ISMS) Passenger Airlines: •Establish Governance Structure, framework (ISO 27001 Certification Audit ready), Policy & Procedures •Manage continuous improvement activities & KPI development •Conduct resource planning 2018 & project management activities
2.Asset Management: Ensure development of Asset Management Approach, Asset Register and control
3.Risk Management & BCM: Develop, establish and implement Information Security Risk Management Methodology & BCM Approach
4.Supplier Management & Audits: Define, establish and align Security Requirements, Performance and Compliance checks for Service Provider (approach, plan and measures)
5.Incident Management: Set up, align and coordinate implementation of incident response procedure and plan 6.Internal Audits: Define, develop and align Internal Audit Approach, program and plan 7.Support development and implementation of operational IT and Information Security Toolbox (to coordinate business activities, processes & compliance)
8.Liaise with interfacing departments, staff and Management
1.Outsourcing / Supplier Contract & Performance Management 2.Review contracts / SLA’s (& structure) & define Security Requirements & Measures
3.Define Information Security Ruleset and Criticality levels 4.Develop Supplier Compliance Monitoring approach & align with relevant departments
5.Develop Supplier Compliance Assessment Tools, documentation and questionnaires
6.Run contract assessments & develop Risk Treatment Plan 7.Develop Supplier Management & Monitoring Toolset, framework and structures
8.Manage Supplier Monitoring process
9.Close related BaFIN Finding Supplier Monitoring Management 10.Manage and develop Management Reporting
11.Team alignment Information Security, Governance, Risk and Compliance
12.Department alignment with Outsourcing, Legal and Business Continuity Management
13.Contract framework development & set-up
14.Summary: Manage Information Security in Contracts & Performance Management
15.Requirements definition: Based on ISO 27001:2013 and MaRisk
1.Project Management to set-up & ensure implementation of ISMS, policy framework and governance structure. 2.Requirements Definition and mapping of ISO 27001:2013 to VDA (German Association of Automotive Industry).
3.Incorporate VW requirements & consideration for ISO 27001 control framework.
4.Run AS-IS, TO BE and GAP ANALYSIS & VDA Level 3/ Maturity Level Assessment.
5.Project Management & assignment of project activities to Head IT (Division) & CIO
6.Management Consultancy & Reporting to CIO and Head of IT (incl. strategy development, set up & roll-out)
7.Prepare ISO 27001:2013 Certification Audit 8.Prepare integration international divisions (e.g. Austria, China & USA) 8.Coordination and run Internal Audit for 2 locations (Europe)
10. Preparation Customer Audits (VW)
11.Develop and align implementation plan for ISMS roll-out (2016 – 2018)
Branche: Finanzindustrie, Bank, Einzelhandel
Zeitraum: 2009 - 2015
Verantwortungsbereich: ISO 27001 / ISMS Management, Entwicklung, Implementierung, Consulting & Certification/Supplier/Customer Audits, ISO 22301 Business Continuity Management & ISO 31000 Risk Management Toolset Implementierung
Lokationen: Deutschland, Niederlande, Irland, UK, Norwegen
Auftraggeber: European Payments Services; Bank; Einzelhandel
-------------------------------
Projekthistorie:
Entwicklung, Einführung, Review und Weiterentwicklung eines Corporate Policyframeworks (Rahmen-/Richtlinenwerkes, inkl. Policen & Prozeduren)
Unterehmensweite Policyentwicklung, Abstimmung und Implementierung mit allen Fach- und Führungsebenen
Entwickeln einer unternehmensweiten Informationsplattform zur Sicherstellung der Verfügbarkeit Policyframeworks
Unterstützung der verschiedenen Unternehmensbereichen bei der Erstellung, Einführung und Umsetzung von Sicherheitsprozessen, -maßnahmen und ?kontrollen gemäß Richtlinien
Entwicklung, Einführung, Umsetzung, Weiterentwicklung und Überwachung eines firmenweiten Information Security Management Systems (ISMS) nach ISO 27001
Definition, Entwicklung, Einführung, Koordination und Implementierung von Kontrollinstrumenten und Massnahmen sowie deren beständige Weiterentwicklung
Sicherstellung der strategischen, taktischen und operationellen Weiterentwicklung und Anpassung zur Aufrechterhaltung und Überwachung des ISMS
Weiterentwicklung und Pflege des ISMS hinsichtlich 'Continous Improvements'
Überwachung und Überprüfung des ISMS hinsichtlich ISO 27001 interne und externe Compliance Anforderungen, Verstöße und Lücken bzw. Risiken.
Regelmäßige
Entwicklung, Einführung einer Unternehmensweiten eines Governance Modells (Informations Sicherheits Strategie, Governance und Management Struktur).
Internationale Zusammenarbeit, Abstimmung und Entwicklung der Strategie, von Unternemenszielen und Konzepten
Aufbau, Enführung und Organisation und Vorsitz von lokalen und internationalen Informationssicherheits Meetings (Local Advisory Board Information Secuirty & Global Information Security Committes)
Mitglied internationaler Committees ? Compliane / Business Continuity & Security ? zur Abstimmung
Managemes, Steuerung und Nachverfolgung von Informationssicherheit Aktivitäten
Beratung und Reportinglinie an das Management Board (Vorstand), CISO und COO
Erstellung und Implementierung eines Dokumentenmanagementsystems & einer einer internen Informationsplattform
Entwicklung und Erstellung SoA (Statement of Applicability)
Durchführung und Koordination von Management Review Aktivitäten
Unterstützung im Bereich Independent Reviews & Continuous Improvements ? zu folgenden Themen (im folgenden ausführlicher erläutert): Annual ISO 27001 (Re-) Certification Audit, Internal Audits, External Audits, Customer Audits, Supplier Audits and Assessments; Management von Continuous Improvement Aktivitäten:
Vorbereitung, Koordination und Durchführung einer ISO 27001 Erst-Zertifizierung eines Finanzunternehmens
Analyse & Aufnahme des Ist-Zustandes
Definition der Mindestanforderungen nach ISO 27001
Durchführung einer GAP-Analyse
Definition, Erstellung und Implementierung von Handlungsempfehlungen zum Schließen von 'GAPs' ? gemeinsam mit dem Fachbereich
Vorbereitung, Begleitung, Koordination und Sicherstellung jährlicher ISO 27001 Re-Zertifizierungen
Ansprechpartner für alle Unternehmensbereiche sowie externe Auditerungspartner
Unterstützung hinsichtlich Suveillance Audit
Unterstützung bei der Definition und Impelementierung von Handlungsempfehlungen und dem Schließen von Audit Findings
Nachbehandlung von Auditergebnissen zur Qualitätssicherung und zur Weiterentwicklung des ISMS
Vorbereitung, Begleitung, Koordination und Durchführung IT Supplier Audits eines IT Dienstleister hinsichtlich Physische Sicherheit
Konzeption und Entwiclung eines Fragebogens hinsichtlich Informationssicherheit und Business Contiunity ? gemeinsam mit dem Physical Security Officer
Auditierung eines Datencenters & der Back-Up Struktur
Auditierung Physische Sicherheit im gesamten Unternehmen vor Ort.
Kundenprojekt / Salesanfragen hinsichtlich Kunden- & (Pre-)Assessment Audits im Rahmen der Leadgenerierung und Kundenpflege
Projektansprechpartner und Bearbeitung von ISO 27001 Anfragen durch namhafte nationale und internationaler (potentielle) Großkunden des Bankenumfeldes
Unterstützung von Kundengesprächen und Vertragsverhandlungen für den Bereich Informationssicherheit
Bearbeitung, Koordination und Abstimmung der Kundenanfrage - gemeinsam mit den unternehmensweiten Fachbereichen, im Rahmen von Security Meetings
Bestimmung des ISO 27001 Ist-Zustandes und der Sicherstellung der kundengerechten Aufbereitung von Auswertungen
Beantwortung der Anfrage und Fragebögen
Konzeption, Entwicklung und Einführung eines 'Corporate E-Learning & Awareness Tools':
Definition und Erstellung eines Fachkonzeptes & Abstimmung / Anpassung auf Internationaler Ebene.
Providerauswahl zur technischen Unterstützung innerhalb des Unternehmens
Entwicklung, Einführung und Kommunikation des unternehmensweiten E-Learning Tools ? in verschiedenen Sprachen
Zusammenarbeit mit der Personalabteilung und Betriebsrat hinsichtlich Auswertung, Behandlung von erfolgreichen und unerfolgreichen Trainingsergebnissen.
Definition, Entwicklung und Implementierung weiterer Maßnahmen zur Mitarbeitersensibilisierung hinsichtlich Informationssicherheit.
Physische Zugangskontrolle: Beratung und Sicherstellung der Implementierung physischer Zutrittskontrolle.
Definition, Abstimmung und Einführung von Prozeduren zu Zugangskontrollen
Erstellung von Optionsdokumenten und Entscheidungsvorlagen für das Seniormanagement (Vorstand und CISO) hinsichtlich möglicher Massnahmen
Abstimmung und Entscheidung zur Implementierung von Drehtüren & Kartenlesegeräte
Koordination und Unterstützung der Fachabteilungen zur Sicherstellung der Implementierung physicher Zugangskontrollen.
Regeln von Verantwortlichkeiten am Empfangsschalter.
Implementierung weiterer Kontrollen: Clear Desk / Screen, Branschutz, Office Security, etc.
BYOD (Bring Your Own Devise): Durchführung, Koordination und Kommunikation einer Anforderungsanalyse zur Einführung von BYOD in Deutschland unter Berücksichtigung rechtlicher Aspekte an den BoD. Abstimmung mit allen Fachbereichen.
Unterstützung bei der Entwicklung, Einführung und Implementierung einer Unternehmensweiten Risiko Management Methodik, Risikostrategie und eines Risiko Modells auf strategischer, operativer und taktischer Ebene (Enterprise Risk Management Methodology)
Entwicklung und Unterstützung bei der Umsetzung von Lösungen und Instrumentarien zur zielgerechten Identifikation, Bewertung, Steuerung und Überwachung von Risiken.
Sicherstellung und Unterstützung bei der Identifikation, Analyse, Bewertung, Management und Kommunikation von Risiken auf Prozess, Projekt, Strategischer und Operativer Ebene.
Durchführung des jährlichen Risiko Bewertungs Prozesses, inklusive Auswertung von Auswirkungen und Erstellung von Maßnahmen Plänen zur Behandlung und Beseitigung von Risiken (Risk Assessment & Risk Treatment)
Erstellung von Instrumentarien zur Sicherstellung und zum Erhalt des angemessenen Schutzes von Informationen und Werten (Inventory of Assests & Data Classification Scheme)
Durchführung von Business Impact Assessments mit allen Bereichen
Vorbereitung, Entwicklung und Durchführung der Operativen Risikobewertung kritischer externer IT Dienstleister.
Konzeption und Entwiclung von Fragebögen zur Bewertung von Operativen und Informationsicherheits Risiken (ORAM: 'Operational Risk Assessemnt Methodology')
Durchführung, Analyse und Auswertung der Risk-Assessment
Definition, Verhandlung und Nachverfolgung von Handlungsmassnahmen mit dem Dienstleister
Anpassung von Vertragsvereinbarungen und Massnahmen / Kontrollen.
Management und Behandlung von Incidents & entsprechende Nachverfolgung zur Verbesserung und Vermeidung von Schäden (Incident Logs, Risk Assessment Incidents, Closure.
Unterstützung des Bereiches HR Security wie bspw. Entwicklung Screening procedures, Acceptable Use Policy, Confidentiality Agreements, Changers/Leavers Process, Disciplinary Process.
Unterstützung zum Themenbereich IT - / System Security (3rd Party Management, Change, Management, Segregations of duties concept, User Profiles, Validation Checks, System Planning and Acceptance Testing, Monitoring, Back-Up Management, Secure Disposal Process, Penetration Testing-, Vulnerability- and System Maintenance controls etc.)
Unterstützung des Bereiches Access- und Identitymanagement: User Access Management and Control Procedure (registration, identification / authentication, review), Access Right Structure / Profiles (RBAC ? Role-based Access Control) Authorisation Structure, Review & Reports, etc.
Unterstützung, Erstellung und Einführung eines Business Continuity Management Regelwerks gemäß ISO 27001
Unterstützung bei der Einführung eines unternehmensweiten Business Continuity Management Systems und Regelwerkes gemäß ISO 22301 und Abgleich zu ISO 27001
Internationale Projektunterstützung Salesdepartments bei (Vorverkaufs-)Aktivitäten zum Thema Bewertung Risikomangement System & Reifergrad des ISMS namhafter Großbanken (vor Ort).
Einführung von Maßnahmen und Kontrollen lokaler Business Continuity Pläne, Tests und Instandhaltungs Massnahmen zur Sicherstellung des Geschäftsbetriebs. Weitere Aktivitäten: Disaster Recovery, Crisis Management, Business Impact Assessments.
Unternehmensweite Erstellung und Konzepten eines 'Control Frameworks' zur Identifikation und Behandlung von internen und externen Compliance Anforderungen (Bsp. ISO 27001, PCI DSS, MaRisk, ITIL).
Qualifizierung:
Lead Auditor ISO 27001, University Krems Austria: 2010
Master Degree Business Studies, University of Applied Science Ludwigshafen: 1999
Information Security Management, M.I.S. Training Institute London UK
Fachkenntnisse:
Information Security Management
Governance, Risk & Compliance Consultant
Business Continuity Management - Implementation Consultant (ISO 22301 & ISO 27001)
- Vorbereiten, leiten, belgeiten und Sicherstellen von 27001 (Re-)Zertifierungen
- Durchführung & Management von 3rd Party / (IT) Supplier Audits
- Begleitung und Durchführung von Kunden Audits & Anfragen und Auswertungen
- Manage Internal & External Audit Requests (ISO 27001 & 22301)
- Unterstützung ISO 22301 Zertifizierungsaudit
- Durchführung 'Operational Risk Assessment Audits' für IT Suppliers (ISO 31000)
Auditor for Pre-Assessment Audit ISO 27001 & ISO 9001
Direktester geht's nicht! Ganz einfach Freelancer finden und direkt Kontakt aufnehmen.