Profilbild von ThomasM Hofmann Senior Consultant / Auditor Informationssicherheit 27001 aus Dietmannsried

Thomas M. Hofmann

teilweise verfügbar

Letztes Update: 19.01.2024

Senior Consultant / Auditor Informationssicherheit 27001

Abschluss: Diplom-Betriebswirt (FH)
Stunden-/Tagessatz: anzeigen
Sprachkenntnisse: deutsch (Muttersprache) | englisch (gut)

Dateianlagen

Conso-Hofmann-Profil-2023-12a_151223.pdf

Skills

Meine Kunden berate ich in allen Fragen der Informationssicherheit und übernehme Audits. Insgesamt bin ich seit über 20 Jahren in der Projektarbeit/ im Change-Management aktiv und verfüge über langjährige operative Kenntnisse in verschiedenen Bereichen sowie einem Rechenzentrum. Als Spezialist im Bereich der Informationssicherheit bin ich sowohl in Beratungsprojekten als auch als Auditor ISO 27001 und im KRITIS-Umfeld tätig. ISMS und Datenschutz waren immer Bestandteil meiner Tätigkeiten an der Schnittstelle zur IT. Umfassende praktische Erfahrungen und Kenntnisse:
- Projektleitung bei gemischten Teams (Fachbereiche / IT, Software-Einführungen)
- GAP-Analyse und Einführung von ISO 27001, ISO 27019, BSI-IT-Grundschutz
- Federführende Erstellung von ISMS- (z.B. Berechtigungsmanagement, Schwachstellen-management…) und DSGVO-Dokumente (incl. Löschkonzepte) und deren Abstimmung mit den Beteiligten
- ext. ISB und ext. DSB und/oder Datenschutzmanager
- Durchführung von Risiko-Workshops und Einführung Risikomanagement und Überprüfung im
  Rahmen von KRITIS-Audits / Internen Audits
- Entwicklung BCM / Notfallrichtlinie / Notfallhandbuch
- Analyse Schwachstellenmanagement und Erarbeitung von Gegenmaßnahmen
- Organisation von Workshops und Übernahme der Durchführung für Führungskräfte und   
  Mitarbeiter
- Ausgestaltung von Schulungsunterlagen
- Begleitung im Rahmen der Zertifizierung
- Durchführung von ISO 27001- und KRITIS-Prüfungen
- Vorträge

Ausbildung / Studium / Zertifizierungen
  1. TÜV Süd / 2019: Information Security Auditor / Lead Auditor ISO / IEC 27001, 27006, 27007, 17021 und 19011
  2. TÜV Süd / 2018: Information Security Officer according to ISO / IEC 27000 series
  3. TÜV Süd / 2018: Information Security Foundation ISO / IEC 27000 series
  4. Prüfungsverfahrens-Kompetenz § 8a BSIG-Kritis
  5. Lehrgang VdS 10010: Richtlinien für ein strukturiertes Datenschutzmanagement und internes Datenschutzaudit
  6. IHK zertifizierter Betrieblicher Datenschutzbeauftragter
  7. SAP Certified Application Associate – Financial Accounting with SAP ERP 6.0 EHP5
  8. Abschluss Studium als Diplom-Betriebswirt (FH)
  9. Ausbildung Bankkaufmann



 

Projekthistorie

01/2019 - 12/2023
Auflistung meiner Tätigkeiten seit 2019
Energieunternehmen (Energie, Wasser und Umwelt, 500-1000 Mitarbeiter)

Projekt:                      Interims-Manager Informationssicherheit (Energieversorger)

Zeitraum:                     01.2023 – 12.2023
Projektinhalt:               Weiterentwicklung der Informationssicherheit als Interims-Manager, Implementierung und Zertifizierungsbegleitung „Systeme zur Angriffserkennung“ und erfolgreiche Auditierung, Review der Dokumente nach ISO 27001 und 27019, Etablierung von  weiteren Sicherheits-strukturen im technischen und nicht-technischen Bereich, Re-Organisation ISMS-Stabsstelle, Gestaltung ISMS-Reporting, Überarbeitung ISMS-Risikomanagement, Erfolgreiche Re-Zertifizierung ISO 27001 und 27019, Coaching von neuen Mitarbeitern
Rolle:                          Interims-Manager und Fachexperte
Aufgaben:                   Wahrnehmung von Führungs- und Fachaufgaben im Bereich Informationssicherheit

-----------------------------------------------------------------------------------------------

Projekt:                      Notfallmanagement / BCM: Business Impact Analyse (Handel)

Zeitraum:                     10.2022 – 12.2022
Projektinhalt:               Erhebung der Business Impact Daten für stationären und Online-Handel
                                    Sowie die Auswertung der Ergebnisse
Rolle:                          Fachexperte
Aufgaben:                   Erstellung der Erhebungsunterlagen, Durchführung von Workshops und Aufbereitung der Ergebnisse

-----------------------------------------------------------------------------------------------

Projekt:                      Audit ISO 27001 / interne Audits / KRITIS-Audits

Zeitraum:                     05.2022 – 10.2022
Projektinhalt:               Durchführung von Audits im Umfeld ISO 27001entsprechend Auditplan sowie Durchführung von KRITIS-Audits
Rolle:                          Lead Auditor / Auditor / Fachexperte
Aufgaben:                   Durchführung von Audits im Umfeld ISO 27001/ISO 27019 und nach KRITIS (B3S)

-----------------------------------------------------------------------------------------------

Projekt:                      Risikomanagement Energieversorger

Zeitraum:                     04.2022 bis 06.2022
Projektinhalt:               Assets, Gefährdungen/Schwachstellen, Aufbereitung Excel-Template für Risikomanagement
Rolle:                          Lead Auditor / Auditor
Aufgaben:                   Klärung und Abstimmung mit den Beteiligten und Einarbeitung in Excelliste  








-----------------------------------------------------------------------------------------------

Projekt:                      Ext. ISB (Finanzwesen)

Zeitraum                      02.2022 bis heute
Projektinhalt:               Durchführung der ISB-Tätigkeiten   
Rolle:                          externer Informationssicherheitsbeauftragter (ext. ISB)
Aufgaben:                   Interne Abstimmung und Anleitung der Fachbereiche / zentraler Ansprechpartner für ISMS / Qualitätssicherung Dokumente und Abläufe / Managementberichte erstellen / Schulungsmaßnahmen durchführen 

-----------------------------------------------------------------------------------------------

Projekt:                      Konzeption Notfallhandbuch (Energie-Sektor)

Zeitraum                      01.2022 bis 06.2022
Projektinhalt:               Konzeption Notfallhandbuch  
Rolle:                          Berater / Experte
Aufgaben:                   Interne Abstimmung / Konzeption / Erstellung Notfallhandbuch für den Bereich „Energie“ bei einem M-Dax-Unternehmen

-----------------------------------------------------------------------------------------------

Projekt:                      Durchführung BSI-Audit (IT-Dienstleister)

Zeitraum                      01.2022
Projektinhalt:               Durchführung eines Audit für einen IT-Dienstleister  
Rolle:                          Auditor
Aufgaben:                   Durchführung des Audits BSI-IT-Grundschutz gemäß Auditplan

-----------------------------------------------------------------------------------------------

Projekt:                      Audits (ISO 27001)

Zeitraum                      12.2021
Projektinhalt:               Durchführung von Audits im Umfeld ISO 27001 und interne Audits entsprechend Auditplan
Rolle:                          Lead Auditor / Auditor
Aufgaben:                   Durchführung von Audits im Umfeld ISO 27001/ISO 27019, KRITIS-Audit und interne Audits entsprechend Auditplan

-----------------------------------------------------------------------------------------------

Projekt:                      Sicherheitskonzept nach BSI für eine Stadtverwaltung im Zusammenhang mit dem Zensus 2022 incl. Risikoanalyse

Zeitraum                      10.2021 bis 11.2021
Projektinhalt:               Analyse der Ausgangslage und erstellen des Sicherheitskonzepts in Abstimmung mit den Beteiligten.
Rolle:                          externer Fach-Experte
Aufgaben:                   Rahmenbedingungen festlegen, Abstimmung mit den Fachbereichen und externen Dienstleistern, Dokument erstellen und Entscheidern präsentieren




-----------------------------------------------------------------------------------------------

Projekt:                      Definition des Scopes, Ressourcenabschätzung und Erstellung von Projektunterlagen für die Einführung eines KRITS/ISMS-Projekts bei einer Energieversorger-Gruppe

Zeitraum                      08.2021 bis 09.2021
Projektinhalt:               Analyse der unternehmensinternen Ausgangslage und der aufsichtsrechtlichen Rahmenbedingungen
Rolle:                          externer Fach-Experte
Aufgaben:                   Festlegung Scope, Abstimmung mit den Fachbereichen, Ressourcenabschätzung, Erstellung Projektplan und Präsentation den Entscheidern

-----------------------------------------------------------------------------------------------

Projekt:                      Erarbeitung von Netzplanunterlagen für die KRITIS-Prüfung eines Logistik-Unternehmens / Verkehrsbetrieb

Zeitraum                      05.2021 bis 11.2021
Projektinhalt:               Analyse vorhandener Unterlagen und Erstellung der Netzpläne für die Kritisprüfung
Rolle:                          externer Fach-Experte
Aufgaben:                   Analyse der Ausgangslage, Abstimmung mit den Fachbereichen, Erstellung der bundesweiten Unterlagen für alle Betriebszentralen

-----------------------------------------------------------------------------------------------

Projekt:                      KRITIS-Prüfungen § 8a, Re-Zertifizierungen ISO 27001/27019
(Energie Strom / Gas, Wasser/Abwasser, Krankenhäuser)
Zeitraum                      03.2021 - 08.2021
Projektinhalt:               Audit
Rolle:                          Lead-Auditor, Auditor, interner Auditor
Aufgabe:                     Durchführung von Audits im Umfeld ISO 27001/ISO 27019, KRITIS-Audit und interne Audits entsprechend Auditplan

-----------------------------------------------------------------------------------------------

Projekt:                      Erstellung einzelner Unterlagen zum Aufbau eines ISMS-Systems nach ISO 27001 für ein europäisches Projekt (europäische Behörde)
Zeitraum                      12.2020 bis 06.2021
Projektinhalt:               Analyse aktueller Fachkonzepte, Erstellung eines integrierten Teilprojektplans und Umsetzung verschiedener Arbeitspakete auf Basis ISO 27001 / BSI-IT-Grundschutz
Rolle:                          Externer Teilprojektleiter und Experte ISO 27001 
Aufgaben:                   Teilprojektplan erstellen und kommunizieren, Auf Basis der vorliegenden Fachkonzepte ein ISMS-System aufbauen und die erforderlichen ISMS-Dokumente erstellen, Workshops mit Fachbereichen durchführen und Schnittstellen klären, Ergebnisse präsentieren








------------------------------------------------------------------------------------------------

Projekt:                      Ist-Analyse BSI-IT-Grundschutz- und KRITIS-Projekt (große Landesbehörde)
Zeitraum                      11.2020 bis 05.2021
Projektinhalt:               Analyse aktueller Umsetzungssachstand zur Einführung von BSI-IT-Grundschutz in Kombination mit KRITIS
Rolle:                          Externer Experte BSI-IT-Grundschutz und KRITIS-Experte
Aufgaben:                   Workshop mit Fachbereichen und internen ISMS-Spezialisten, Dokumentenanalyse, Weiterentwicklung Projektmanagement, Bewertung der bisherigen Umsetzungsergebnisse, Erarbeitung von Handlungsoptionen, Entwickeln eines „Fahrplans“ für das weitere Vorgehen

------------------------------------------------------------------------------------------------

Projekt:                      GAP-Analyse auf Basis ISO 27001/2017 (Rechenzentrum)
Zeitraum                      08.2020
Projektinhalt:               GAP-Analyse / Voraudit
Rolle:                          Co-Auditor
Aufgabe:                     Durchführung GAP-Analyse entsprechend Auditplan

------------------------------------------------------------------------------------------------

Projekt:                      Re-Zertifizierung nach §8a BSIG / KRITIS (Energie)
Zeitraum                      07.2020
Projektinhalt:               Nachweisaudit
Rolle:                          Co-Auditor
Aufgabe:                     Durchführung KRITIS-Audit entsprechend Auditplan

------------------------------------------------------------------------------------------------

Projekt:                      Standort-Risikoanalyse (5 Standorte) für eine europäische Großbank im BCM-Umfeld
Zeitraum                      02.2020 bis einschl. 09.2020
Projektinhalt:               Standort-Risikoanalyse im BCM-Umfeld
Rolle:                          Ext. Risikoexperte in Anlehnung BSI-IT-Grundschutz und Einbindung der vorhandenen Berichtsstrukturen (Einsatz RAT-Tool mit RIA-Analyse)
Aufgabe:                     Ist-Aufnahme mit Hilfe von BSI-Checklisten und RAT-Tool, Weiterentwicklung vorhandenes RAT-Tool im Sinne eines Risikomanagements unter Beachtung der internen Vorgaben, Ermittlung Schutzbedarf, Darstellung Risikoakzeptanz-Niveau, Entscheidungsvorlage für Risikobehandlungsmaßnahmen, regelmäßiges Reporting an Entscheider, Abschlussbericht mit Handlungsempfehlungen

-----------------------------------------------------------------------------------------------

Projekt:                      Ext. Datenschutzbeauftragter für verschiedene Unternehmen
Zeitraum                      2019 bis heute (mit Vertretungsregelung)
Projektinhalt:               DSGVO Datenschutz und Datensicherheit
Rolle:                          Ext. Datenschutzbeauftragter
Aufgabe:                     Überwachung und Einhaltung der DSGVO, Zentraler Ansprechpartner in Sachen Datenschutz, Entwicklung Löschkonzept nach ISO 66398, Jahresplanung und Jahresbericht an die GF, Ansprechpartner in Projekten mit pbD, Beratung bei der Durchführung der DSFA



-----------------------------------------------------------------------------------------------

Projekt:                      KRITIS-Unternehmen (Krankenhäuser)
Zeitraum                      2019
Projektinhalt:               Auditierung KRITIS auf Basis B3S / ISO 27001
Rolle:                          Co-Auditor
Aufgabe:                     Vorbereitung Auditierung, Erstellung Auditplan, Abstimmung Prüfungsgrundlage (ISO 27001 und B3S), Bewertung IT-Risikomanagement und allgemeines Risikomanagement, Bewertung BCM / Notfallhandbuch,   Durchführung KRITIS-Prüfung (Dokumentensichtung und Vor-Ort-Begehung), Abschlussgespräch vorbereiten, Auditbericht erstellen

-----------------------------------------------------------------------------------------------

Projekt:                      Flughafenbetreiber / Bereich Energieversorgung mit erfolgreicher Zertifizierung
Zeitraum                      2019 bis 07.2021
Projektinhalt:               Implementierung nach ISO27001, ISO27019
Rolle:                          Realisierer 
Aufgabe:                     Einführung ISO 27001, ISO 27019

                                    Erstellen Richtlinien/Dokumenten: ISMS-Risikomanagement in der Informationssicherheit, Definition Schadenskategorien, Richtlinie zum Assetmanagement erstellt, Schutzbedarfsfeststellung: Arbeitshilfe zur Bewertung der Schadenszenarien, Durchführungsregelung Nutzung von IT und Software, Rückgabe von Geräten, Klassifizierung von Assets, Handhabung von Wechselmedien

Ermittlung Gefährdungen unter Berücksichtigung der Anwendungsgebiete, Zusammenstellung der Asset-Liste incl. Gebäude und die Gruppenbildung, Durchführung der Gefährdungsidentifizierung, Durchführung Schutzbedarfsanalyse mit den Grundwerten Verfügbarkeit, Vertraulichkeit, Integrität und deren Gewichtung mit Eintrittswahrscheinlichkeit und Auswirkungen und anschließender Risikobehandlung incl. Immobilien mit Risiko-Vermeidung, Risiko-Minderung, Risiko-Akzeptanz oder keine Maßnahmen erforderlich
Qualitätssicherung von 138 Dokumenten für das ISMS

Durchführung von Workshops, Erstellen und steuern von Aktivitätsplänen, Regelmäßige Berichterstattung Lenkungsausschuss

Begleitung im Rahmen der Zertifizierung

-----------------------------------------------------------------------------------------------

Projekt:                      Informationssicherheit in Kommune / Eigenbetriebe
Zeitraum                      2019
Projektinhalt:               GAP-Analyse ISO 27001 und Erstellen von Richtlinien                       
Rolle:                          externer Experte ISO 27001 
Aufgabe:                     Durchführung und Erstellung GAP-Analyse, Erstellung                                                                        Informationssicherheitsleitlinie, Richtlinie Notfallmanagement,                                                                      Richtlinie Internet- und Mail-Nutzung, Richtlinie Dokumentenfreigabe,                                                            Passwortrichtlinie, Richtlinie für Bestellung / Rollenbeschreibung ISB

Reisebereitschaft

Verfügbar in den Ländern Deutschland, Österreich, Schweiz und Finnland
Verfügbarkeit: nach Absprache
Profilbild von ThomasM Hofmann Senior Consultant / Auditor Informationssicherheit 27001 aus Dietmannsried Senior Consultant / Auditor Informationssicherheit 27001
Registrieren