en
Bewertung und Überarbeitung des BCM-Prozesses und -Lebenszyklus
(Wirtschaftsprüfung, Steuern und Recht, >10.000 Mitarbeiter)
Skills
• Beratung und Unterstützung bei der Umsetzung der Anforderungen aus KRITIS (Betrei- ber Kritischer Infrastrukturen) an die IT/Telekommunikation
• Beratung und Unterstützung bei der Umsetzung der Anforderungen aus NIS2 (Cybersicherheitsrichtline der EU), BAIT (Bankaufsichtliche Anforderungen an die IT) und DORA (Digital Operational Resilience Act der EU)
• Umsetzung des Security Managements gemäß ISO 27001ff, ISACA, NIST u.a. Frameworks, Governance und Überwachung (SIEM)
• Anpassung an den aktualisierten Standard ISO27001:2022 ISM (Information Security Management)
• Umsetzung des Business-Continuity-Managements (Katastrophenvorsorge) auf Basis ISO 22301
• Beratung und Unterstützung bei der Umsetzung der Anforderungen aus NIS2 (Cybersicherheitsrichtline der EU), BAIT (Bankaufsichtliche Anforderungen an die IT) und DORA (Digital Operational Resilience Act der EU)
• Umsetzung des Security Managements gemäß ISO 27001ff, ISACA, NIST u.a. Frameworks, Governance und Überwachung (SIEM)
• Anpassung an den aktualisierten Standard ISO27001:2022 ISM (Information Security Management)
• Umsetzung des Business-Continuity-Managements (Katastrophenvorsorge) auf Basis ISO 22301
Projekthistorie
03/2022
-
10/2023
- Bewertung des BCM-Reifegrads aufgrund eines anstehenden ISO-27001-Rezertifizierungsaudits
- Erstellen und Bewerten von Feststellungen
- Erstellen eines Maßnahmenkatalogs zur Erhöhung des Reifegrads
- Umsetzung des Maßnahmenkatalogs in enger Abstimmung mit den internen Einheiten
- Überarbeitung des Standards für das Datensicherungsverfahren
04/2021
-
10/2023
Durchführung von Rechenzentrumsleistungstests im laufenden Betrieb zur Simulation eines Rechenzentrumausfalls
Automobilhersteller
(Automobil und Fahrzeugbau, >10.000 Mitarbeiter)
- Istaufnahme und Bewertung (Analyse der Assets)
- Erstellung der Testkonzeption
- Anpassung des klassischen Disaster-Recovery-Ansatzes an das DevOps-Modell von Cloudumgebungen
- Planung, Durchführung und Ergebnisauswertung der Tests (ca. 500) in der produktiven Umgebung (Serverabschaltung, Rackabschaltung, Netztrennung, …)
- Anpassung der Infrastruktur auf Basis der Testergebnisse
- Umbaumaßnahmen
- Umzüge des Iststandes inklusive Betriebsübergabe
- Etablierung von neuen Technologien und Lösungen
- Maßnahmen zur Betriebsstabilisierung
- Risikoerfassung und Risikobehandlung zur Vermeidung von Produktionsstillständen durch die durchzuführenden Tests sowie notwendiger Umbaumaßnahmen (Umzüge)
01/2021
-
06/2022
Implementation eines SIEM-Systems
(Banken und Finanzdienstleistungen, 5000-10.000 Mitarbeiter)
- Erfolgreiche Einführung eines SIEM-Systems
- Einführung von Use Cases u. a. auf Basis Mitre zur Erkennung von Sicherheitsereignissen
- Einführung von Playbooks, Runbooks, Service Descriptions für die Behandlung von Alarmen
- Einführung von Runbooks, kundenindividuelle SOPs für die Behandlung von Sicherheitsvorfällen
- Implementierung des Incident-Response-Prozesses (Multiproviderumgebung)
- Erstellung von Richtlinien, Arbeitsanweisungen, Datenschutzfolgeabschätzung im gewünschten Kontext
- Überarbeitung der Dokumentation (Prozessbeschreibung, Vertragsbeschreibungen, Reporting, ...)
- Erstellung und Verhandlung Vertrag (Managed Service SIEM/SOC-Fremdbezug)
- Anpassung bestehender Betriebsprozesse (pragmatisch, need to have)
06/2014
-
01/2021
Sicherung der Einhaltung des weltweiten Notfallmanagementprozesses / RZ-Verlagerungen
VW Financial Services
(Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)
- Behebung von Feststellungen von EZB-Prüfungen im Kontext ITSCM/BCM, Risikomanagement durch Erarbeitung pragmatischer, nachhaltiger Lösungen
- Planung und Durchführung von Rechenzentrumsverlagerungen aller produktiven IT-Services an einem Werktag unter Last (Betrieb aus nur einem Rechenzentrum) unter Berücksichtigung
- sicherheitsrelevanter Aspekte (Information Security Managements ISO 27001)
- Auflagen der Bankaufsichtsbehörden BaFin und EZB (MaRisk)
- Erstellung eines Konzeptes zur Umstellung des Netzwerkprotokolls IPv4 auf IPv6 für die Rechenzentren
- Durchführung eines Proof of Concepts (PoC) für die Etablierung neuer gemanagter Netzwerkservices
- Erstellung revisionssicherer Dokumentation
- Überprüfung aller notallrelevanten Unterlagen der wichtigsten Landesgesellschaften (ca. 40) auf Einhaltung der Vorgaben der BaFin (Bundesanstalt für Finanzdienstleistungsaufsicht) und der Informationssicherheit
- Steuerung und Konsolidierung der weltweiten Notfalldokumentation sowie revisionssichere Dokumentation
- Abstimmung der Anforderungen mit Business Continuity Management und Information Security sowie Unterstützung bei der Durchführung von Vollübungen sowie Funktionstests
- Befähigung der Landesgesellschaften durch Vor-Ort-Workshops in Brasilien und Frankreich, sowie intensive Betreuung (Telefonate, Webkonferenzen, E-Mails)
09/2015
-
06/2019
Einführung des Sicherheitsprotokolls 802.1X sowie des Kommunikationsprotokolls IPv6
VW Financial Services
(Banken und Finanzdienstleistungen, >10.000 Mitarbeiter)
Einführung des Sicherheitsprotokolls 802.1X sowie des Kommunikationsprotokolls IPv6 am Konzernhauptsitz sowie in allen Landesgesellschaften zur Sicherstellung der Einhaltung von regulatorischen Vorgaben bei einem Finanzdienstleister (VW Financial Services, Braunschweig)
- Globale (Europa, Amerika und Asien) Befähigung aller Landesgesellschaften durch Webkonferenzen, Schulungsmaßnahmen, Telefonkonferenzen
- Sicherstellung der Einhaltung der Governancevorgaben und der Vorgaben von Information Security Management ISO 27001 im Bereich 802.1X und IPv6
- Prüfung der Nachweisdokumentation der Landesgesellschaften
04/2011
-
04/2014
Einführung des weltweiten Notfallmanagementprozesses / Business-Impact-Analyse
VW Konzern
(Automobil und Fahrzeugbau, >10.000 Mitarbeiter)
- Weltweite Einführung und Umsetzung des IT-Service-Continuity-Management-Prozesses für alle Marken und Standorte des Konzerns im Rahmen des ISO27001-Informationssicherheitsprogramms
- Abstimmung der Anforderungen mit den Teilprojekten bzgl. sicherheitsrelevanter Aspekte
- Erarbeitung der konzernweit gültigen Methodik für die IT-Notfallvorsorge auf Basis des ISO-Standards 22301
- Abstimmung und Einführung der Konzernrichtlinie für IT-Notfallmanagement mit Risk Management und Compliance
- Globale Befähigung aller Marken durch Vor-Ort-Workshops und Coaching vor Ort in Europa, Amerika und Asien
- Erstellen der Methodik und Verfahrensanweisung für die weltweite Durchführung der Business-Impact-Analyse
- Durchführung der Business-Impact-Analyse am Hauptsitz
- Steuerung und Konsolidierung der weltweiten Analyseergebnisse sowie revisionssichere Dokumentation
- Erstellung des Notfallhandbuchs für die Konzernrechenzentren
- Aufbau und Betrieb eines Supportcenters für die Konzerngruppe
Zertifikate
CISM
ISACA
2020
ISO 27001
ISO
2013
ISO 22301
ISO
2013
PMP
PMI
2009
Reisebereitschaft
Weltweit verfügbar
