Schlagwörter
Skills
- ISO/IEC 2700x; Information Security Management Systems (ISMS)
- BSI-Grundschutz 200-x (u.a. BCM);
- ISO 31000 Risikomanagement (Identifikation; Analyse; Behandlung; Risk-Grid; Übernahme Verfahren);
- Governance (IT und IO; BaFin; KRITIS)
- Erstellung von Sicherheitskonzepten;
- Business Impact Analysis (BIA);
- Banken
- Versicherungen
- Logistikunternehmen
- Telekommunikation
- IT-Dienstleistungsunternehmen
- Erfahrung im Umgang mit komplexen z.T. diametralen Strukturen.
- Sicherheitsmanagement
- Risikomanagement
- Governance
- Compliance Evaluation: Bewertung juristischer Vorgaben und Einhaltung regulatorischer Anforderungen sowie die Überwachung deren Umsetzung
- Projektmanagement
- Business Analyse
- ISO/IEC 27001 (DIN NIA-01-27)
- ISO 31000 (DIN/ISO 31000; VDE 1000(GK))
- ITIL v3 (PRINCE2)
- CBAP (BABOK)
- Juristische Kenntnisse: ITSiG; DSGVO; HGB; BGB; StGB; KWG; GwG; GoB; PeP (gemäss Richtlinie 2005/60/EG des Europäischen Parlaments); MaSI (Anforderung der BaFin)
- Weitere Kenntnisse: BPML; UML; CISSP; CISA; CISM; TISP
- MS Office (Word; Excel; PowerPoint; Visio; Access; Project)
- MS SDL (Security Development Lifecycle; wurde benutzt für die Bedrohungsmodellierung nach STRIDE Methode)
- CORAS (wurde benutzt zur Risikoanalyse)
- Jira; Confluence (Projektdokumentation und -kommunikation);
- Sharepoint (Aufgabenverteilung und Dokumentensammlung)
- Documentum (Knowledge-Base; Archiv)
- IBM Rational Rose (Erstellung von UML Diagrammen)
- Talend (Open Studio)
- Programmiersprachen: PHP; SQL; Java(JSP); JavaScript; CSS3; HTML5; XML; Python
- Frameworks: Bootstrap; Vue.js
- Datenbanken: MySQL/Maria DB; Oracle; MS-SQL; Access; Snowflake
- Betriebsysteme: Windows(PC; Server 2012 R2); Linux(RHEL; SLES; Ubuntu); OSX
Projekthistorie
- Gestaltung des Informationssicherheits-Prozesses auf Basis ITIL-4.
- Gestaltung der ITIL-4 Incident und Change Management Prozesse.
- Erstellung von Informationssicherheitsrichtlinien für die Bank.
- Unterstützung im Projekt interner Audit Findings.
- Beratung beim Aufbau interner Kontrollsysteme (IKS) der Bank.
- Beratung zum Aufbau der IKS-Prozesse.
- Beratung und Support bei der Sicherheitsanalyse der bestehenden IT-Landschaft
- Beratung und Support bei der Sicherheitskonzeption der Assets der Bank.
- Beratung und Support bei Verträgen mit externen Dienstleistern zur Einhaltung der regulatorischen (BAIT; MaRisk; DORA) und informationssicherheitsrelevanten (DSGVO) Anforderungen der Bank.
- Unterstützung bei der Planung und Umsetzung eines SOC/SIEM.
- Unterstützung des SPAM-Mail Teams bei der Analyse und Bearbeitung er Incidents.
- Beratung beim Aufbau interner Kontrollsysteme der Bank
- Unterstützung beim Aufbau der IT-Compliance Abteilung der Bank
- Umstellung alter Verfahrenshandbücher auf Aktuelle Arbeitsanweiseungen
- Beratung zu Geschäftsprozessänderungen im Rahmen regulatorischer Anforderungen.
- Beratung zum Aufbau der IKS-Prozesse
- Steuerung der Bearbeitung regulatorischer Audit Findings in Zusammenarbeit mit der internen Revision.
- Prüfung der Umsetzung regulatorischer Anforderungen durch die IT.
- Prüfung der Evidenzen und Dokumentationen als Nachweis zur Umsetzung.
- Soll-Ist-Analyse der bestehenden Dokumentation und Verfahren.
- Gestaltung des Informationssicherheits-Prozesses auf Basis ITIL-4
- •estaltung der ITIL-4 Incident Prozesse
- •eratung ITSCM bei der Einführung des SOC Vorbereitung PoC.
- Evaluierung geeigneter Soll-Maßnahmen als Basis für die SOC-Level-1-Analyse.
-
Strukturierung der Anwendungen hinsichtlich it-sicherheitstechnischer Belange
-
Bedrohungsmodellierung auf Basis von UML oder MS SDL.
-
Prüfung juristischer Grundlagen die Anwendung betreffend
-
Erarbeitung nicht funktionaler Sicherheitsanforderungen
-
Ermittlung von Bedrohungen
-
Erstellung von Maßnahmen
-
Einhaltung von Security Standards
-
Erstellung und Einführung von Security Standards
-
Erstellung der Sicherheitsdokumente und der relevanten Kapitel in den Compliance Dokumenten (Fachfeinkonzept, Berechtigungskonzept, Betriebshandbuch)
-
Einstufung der Kritikalität der Security Test Befunde der Postbank mit Blick auf den Gesamtkonzern der Bank.
-
Festlegung der Schutzmaßnahmen zur Erfüllung der Basic Controls.
-
Compliance Evaluation in Zusammenarbeit mit den Bank-Fachseiten und den
Application Ownern.
-
Analyse der Anwendungen die von beiden Banken betroffen sind und Erstellung der
Sicherheitskonzepte
-
Abgleich zwischen den Sicherheitshandbüchern der Banken
-
Kontrolle der Einhaltung gesetzlicher Vorgaben (ITSiG und EU-DSGVO)
-
Abgleich umgesetzter Maßnahmen mit Technischer Richtlinie des BSI
-
Bearbeitung bzw. Schließung von internen und externen (BaFin) Revisionsmoniten
-
Erstellung und Evaluierung von Risikomeldungen auf Basis des Risk-Grids
-
Unterstützung des Projektmanagements Managements zur Einhaltung der neu definierten Prozesse im Vorgehensmodell
-
Prozessablauf Erstellung der Sicherheitsdokumente und Planung der Security Tests
-
Einstufung der Kritikalität der Security Test Befunde.
-
Festlegung der Schutzmaßnahmen zur Erfüllung der Basic Controls.
-
Beratung und Hilfe für Security Assessments (Einfluss BIA) mit der Bank-Fachseite
-
Festlegen erweiterter Maßnahmen (Riskdriven Controls) als Ergebnis des
Assessments (Einfluss BCM).
-
Compliance Evaluation in Zusammenarbeit mit der Bank- Fachseite und / oder den
Applikationsverantwortlichen.
-
Analyse der Anwendungen und Erstellung von Sicherheitskonzepten
-
Beratung Security Awareness unter dem Motto „Keine Angst vor Security“
-
Vortrag „Sicherheitskonzept, einfach und schnell erklärt“.
-
Unterstützung der Einführung DSGVO
-
Bearbeitung bzw. Schließung von internen und externen (BaFin) Revisionsmoniten
-
Strukturierung der Anwendungen hinsichtlich it-sicherheitstechnischer Belange
-
Bedrohungsmodellierung auf Basis von MS SDL.
-
Abgleich des MS SDL Modells mit dem ISMS
-
Erstellung des Sicherheitskonzepts.
-
Abgleich mit der Konzernsicherheit
-
Vorbereitung der Sicherheitsfreigabe