IT Unternehmensberater
- Verfügbarkeit einsehen
- 2 Referenzen
- auf Anfrage
- 68219 Mannheim
- Nähe des Wohnortes
- de | en
- 11.01.2024
Kurzvorstellung
IT GRC inkl. Information Security Management, IT Audit, Datensicherheit und Business Continuity Management.
Auszug Referenzen (2)
"Ich war mit Herrn Zepfs Arbeit sehr zufrieden. Alles wurde wie besprochen durchgeführt und die Qualität war hervorragend."
6/2017 – 9/2017
Tätigkeitsbeschreibung
Unterstützung der internen Revision durch die Prüfung
des Business Continuity Management Systems
Beurteilung der grundsätzlichen Methodik der neu
implementierten Anweisungslage (interne
Anweisungen)
Prüfung auf Angemessenheit und Wirksamkeit
(Konformität zu Standards) sowie hinsichtlich der
konformen Ausgestaltung gegenüber
regulatorischen Vorgaben
Standards DIN ISO 22301 / vormals BS25999,
"100-4" des BSI und die interne Anweisungslage
als Prüfungsgrundlage
Funktionsprüfung: Abgleich der internen
Anweisungslage gegen den "gelebten Prozess"
Erstellen einer angemessenen und
nachvollziehbaren Dokumentation der gesamten
Prüfung
Seite 4 von 15
Erstellen von aussagekräftigen Feststellungen bei
Abweichungen (Feststellung, Auswirkung,
Ursache, Empfehlung)
Entwicklung und Abgabe von
Maßnahmenempfehlungen
Know-How Transfer zum Kunden über Methodiken
und praktische Inhalte von BCM
CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), IT-Governance, DIN ISO/IEC 27001, IT-Beratung (allg.), Krisenmanagement, Betriebskontinuitätsmanagement (BKM), Projektleitung / Teamleitung, Auditor
"Prozessbegleitung bei der Ausschreibung des ERP-Systems."
9/2016 – 12/2016
Tätigkeitsbeschreibung
Evaluierung einer ERP Lösung, Ausschreibung und Angebotsauswahl/Bewertung
• Anforderungsmanagement mit den Fachbereichen inkl. Umformulierung vorhandener Anforderungen, Aufnahme neuer Anforderungen, Erfüllungskriterien und Priorisierung
• Auswahl der Anbieter für das Ausschreibungsverfahren
• Gestaltung und Durchführung/ Kanalisierung der Kommunikation zwischen Auftraggeber und Anbietern
• Abstimmung einer Strategie und Vorgehensweise zur Entwicklung der Zielarchitektur
• SPOC - Ansprechpartner und Kontakt für die Anbieter im Ausschreibungsverfahren
• Prüfung und Verhandlung von NDAs
• Führung des Projektteams, Durchführung von Abstimmungs- und Lenkungsausschussrunden, Moderation von Workshops
• Qualitätssicherung des Reportings und der Projektergebnisse inkl. Milestonereporting
• Erstellung einer finalen Bewertungsmatrix und Abgabe einer Empfehlung zur Auswahl und zum weiteren Vorgehen
• Präsentation der Ergebnisse vor dem Vorstand und Präsidenten sowie der Bereichsleiterebene
ERP Beratung (allg.), Projektleitung / Teamleitung (IT), IT-Beratung (allg.), Prozessoptimierung, Requirement Analyse, Softwareauswahl (Evaluierung), Anforderungsmanagement, Management (allg.), PRINCE2, Projektleitung / Teamleitung, Prozessberatung, SWOT-Analyse, Qualitätsmanagement (allg.), Kommunikation (allg.), Auswahl Vertretern / Kooperationspartnern
Qualifikationen
Projekt‐ & Berufserfahrung
2/2020 – 3/2020
Tätigkeitsbeschreibung
Projekt Support Risikoanalyse und IT Audit
- Unterstützung der 2nd LoD bei der IT Risikoanalyse und Bewertung im Rahmen eines bankweiten Projektes im Bereich SME
- Review vorhandener risikomitigierender Maßnahmen und Erarbeitung von Empfehlung zur weiteren Verbesserung und Umsetzung
- Risk Areas: IT Foundation Controls, Operational Resilience, BCM, IT Changemanagement, Security Monitoring, Platform Security, IAM, EUC, Cybercrime Resilience
CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Certified in Risk and Information systems Control (CRISC), Risikomanagement, Projektmanagement - Audits, Auditor, DIN EN ISO 27001
4/2019 – 1/2020
Tätigkeitsbeschreibung
Testen der IT Key Controls und Weiterentwicklung des KCT Processes
• Test und Überprüfung der internen Kontrollen als ToD und ToE (Test of Design und Test of Effectiveness)
• Themenfelder des Testings: Foundation, ChangeManagement, Operational Resilience, Platform Security, Incident/Security Incident Management, Problem Management, Datacenter Resilience
• Inhalte: Governance, PUA, Authentication, Authorisation Design, Design Verification, Management Review Controls
• Erstellung von Testskripts /Testplänen
• Erstellung von Arbeitsanweisungen zur Überprüfung der internen Kontrollen
Themenentwicklung und Konzeption zu Embedded Testing, Prozessgestaltung und Integration interner Kontrollen
ITIL, CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), IT Sicherheit (allg.), Projektmanagement - Audits, Auditor
2/2018 – 3/2019
Tätigkeitsbeschreibung
- Erhöhung des Reifegrads des BCMS
- Weiterentwicklung des BCM-Test und Übungskonzeptes und zugrunde liegender Vorgaben
- Erstellung von begleitender Dokumentation und Anpassung bestehender Richtlinien
- Planung, Beleitung der Durchführung und Ergebnisdokumentation von BCM-Tests und Übungen inkl. Lessons Learned
- Überführung von GAPs in das Issue Management
- Prüfung der Meilensteinplanung
- Daten und Workflowmanagement bei Einführung BCM Tool
- Entwicklung eines IKS für den Bereich Test & Übungen
- Konzeption eines Issue Management
BSI-Standards, CISA (Certified Information Systems Auditor), CISM (Certified Information Security Manager), Informationssicherheit, IT Sicherheit (allg.), DIN ISO/IEC 27001, IT-Beratung (allg.), Prozessoptimierung, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Risikomanagement, Prozessberatung, Krisenkommunikation
6/2017 – 9/2017
Tätigkeitsbeschreibung
Unterstützung der internen Revision durch die Prüfung
des Business Continuity Management Systems
Beurteilung der grundsätzlichen Methodik der neu
implementierten Anweisungslage (interne
Anweisungen)
Prüfung auf Angemessenheit und Wirksamkeit
(Konformität zu Standards) sowie hinsichtlich der
konformen Ausgestaltung gegenüber
regulatorischen Vorgaben
Standards DIN ISO 22301 / vormals BS25999,
"100-4" des BSI und die interne Anweisungslage
als Prüfungsgrundlage
Funktionsprüfung: Abgleich der internen
Anweisungslage gegen den "gelebten Prozess"
Erstellen einer angemessenen und
nachvollziehbaren Dokumentation der gesamten
Prüfung
Seite 4 von 15
Erstellen von aussagekräftigen Feststellungen bei
Abweichungen (Feststellung, Auswirkung,
Ursache, Empfehlung)
Entwicklung und Abgabe von
Maßnahmenempfehlungen
Know-How Transfer zum Kunden über Methodiken
und praktische Inhalte von BCM
CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), IT-Governance, DIN ISO/IEC 27001, IT-Beratung (allg.), Krisenmanagement, Betriebskontinuitätsmanagement (BKM), Projektleitung / Teamleitung, Auditor
5/2017 – 6/2018
Tätigkeitsbeschreibung
1. Konzeption und Durchführung eines Self Assessment zum Umsetzungsstand der BAIT (bankfachliche Anforderungen an IT – Konkretisierung der MaRisk durch die Bafin), 2. Unterstützung bei der Einführung von COBIT 5 als Governance Framework
• Aufbereitung der Assessment-Unterlagen
• Definition von Key Controls und Evidenzanforderungen
• Durchführung von Interviews mit den jeweiligen Stakeholdern
• Interpretation der Ergebnisse
• Darstellung von Beobachtungen i.S. von GAPs zur BAIT
• Entwicklung von Maßnahmenempfehlungen zur Schließung der GAPs
• Mapping der Anforderungen zu Prozessen aus COBIT 5
• Kommunikation mit Stakeholdern aus anderen Fachbereichen zur Einführung von COBIT 5
Referenzen können auf Anfrage vermittelt werden.
Service Management, BSI-Standards, Informationssicherheit, IT Sicherheit (allg.), IT-Governance, Projektleitung / Teamleitung (IT), DIN ISO/IEC 27001, DIN ISO/IEC 27002, Qualitätsmanagement / QS / QA (IT), IT-Beratung (allg.), Prozessoptimierung, Risikomanagement, Projektmanagement - Audits, Projektmanagement - Risikomanagement
9/2016 – 12/2016
Tätigkeitsbeschreibung
Evaluierung einer ERP Lösung, Ausschreibung und Angebotsauswahl/Bewertung
• Anforderungsmanagement mit den Fachbereichen inkl. Umformulierung vorhandener Anforderungen, Aufnahme neuer Anforderungen, Erfüllungskriterien und Priorisierung
• Auswahl der Anbieter für das Ausschreibungsverfahren
• Gestaltung und Durchführung/ Kanalisierung der Kommunikation zwischen Auftraggeber und Anbietern
• Abstimmung einer Strategie und Vorgehensweise zur Entwicklung der Zielarchitektur
• SPOC - Ansprechpartner und Kontakt für die Anbieter im Ausschreibungsverfahren
• Prüfung und Verhandlung von NDAs
• Führung des Projektteams, Durchführung von Abstimmungs- und Lenkungsausschussrunden, Moderation von Workshops
• Qualitätssicherung des Reportings und der Projektergebnisse inkl. Milestonereporting
• Erstellung einer finalen Bewertungsmatrix und Abgabe einer Empfehlung zur Auswahl und zum weiteren Vorgehen
• Präsentation der Ergebnisse vor dem Vorstand und Präsidenten sowie der Bereichsleiterebene
ERP Beratung (allg.), Projektleitung / Teamleitung (IT), IT-Beratung (allg.), Prozessoptimierung, Requirement Analyse, Softwareauswahl (Evaluierung), Anforderungsmanagement, Management (allg.), PRINCE2, Projektleitung / Teamleitung, Prozessberatung, SWOT-Analyse, Qualitätsmanagement (allg.), Kommunikation (allg.), Auswahl Vertretern / Kooperationspartnern
9/2015 – 12/2015
Tätigkeitsbeschreibung
Durchführung einer GAP-Analyse zum Umsetzungsstand des IT Sicherheitsgesetz (ITSiG)
• Ermittlung der Anforderungen und erforderlichen Maßnahmen aus dem Gesetz sowie den Umsetzungsleitfäden des BSI
• Analyse der vorhandenen und geplanten Maßnahmen
• Bewertung der Angemessenheit und Funktion der umgesetzten Maßnahmen
• Vorschläge für die Implementierung neuer Maßnahmen und Kontrollen
• Mitarbeit im UP Kritis
Datenschutz, CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Einbruchschutz / Einbruchmeldesysteme, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Business Analyse, Auditor
1/2014 – 8/2015
Tätigkeitsbeschreibung
Restrukturierung des Risikomanagementprozesses (ISO 31000)
• Soll-/ Ist-Abgleich der vorhandenen Prozesse zu den Vorgaben der ISO 31000
• Anpassung der Risikomanagementmethodik auf eine zielorientierte Vorgehens- und Darstellungsweise (Riskmap)
• Konzeption und Implementierung der nötigen Prozesse, Rollen und Verantwortlichkeiten im Rahmen eines Handbuchs
• (Weiter-) Entwicklung der benötigten Unterlagen inklusive Risikoregister und Riskmap
• Veranstaltung von Roadshows und Informationsmeetings zur Schaffung einer unternehmensweiten Awareness
• Durchführung von projekt- und themenbezogenen Riskassessments
• Implementierung einer europaweit abgestimmten Risikobewertungsmethodik basierend auf einheitlichen Kennzahlen und Messgrößen.
CISA (Certified Information Systems Auditor), BSI-Standards, Projektmanagement (IT), IT-Governance, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Risikomanagement, Compliance management, Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Risikomanagement (Finan.)
1/2014 – 3/2015
Tätigkeitsbeschreibung
Einführung eines unternehmensweiten, strukturierten Krisenmanagementprozesses und Handbuchs
• Soll-/ Ist-Abgleich der vorhandenen Vorgehensweisen, Darstellung der Gaps für das Managementboard
• Definition und Abgrenzung zwischen Störung, Notfall und Krise
• Risikoanalyse hinsichtlich der zu betrachtenden Szenarien
• Anforderungsanalyse hinsichtlich der zu benachrichtigenden Stellen (intern und extern)
• Design eines formalisierten und strukturierten Prozesses inkl. Definition der Rollen und Einführung der Teilnehmer
• Entwicklung eines Krisenreaktionshandbuchs mit vorbereiteten, generischen Wordings und Verhaltensregeln für die wesentlichsten Szenarien
• Abstimmung mit dem Managementboard
CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, DIN EN ISO 27001, Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Krisenmanagement, Krisenkommunikation
1/2014 – 12/2014
Tätigkeitsbeschreibung
Einführung eines ISMS (ISO 2700x)
• Fachliche Verantwortung für die beinhalteten Themen Risikomanagement und BCM, Beisteuerung der jeweiligen Fragen und Kriterien für die Schutzbedarfsanalyse
• Entwurf und Gestaltung einer CISO-Organisationsstruktur (Security Council) als Vorschlag für die Unternehmensführung
• Teilnehmer im Security Council und Ansprechpartner UP Kritis
• Lektorentätigkeit beim Entwurf des IT Sicherheitsgesetzes
• Durchführung und Begleitung der Schutzbedarfsfeststellung, Ermittlung von Messgrößen
Datenschutz, CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, IT-Beratung (allg.), Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Krisenkommunikation
6/2013 – 2/2016
Tätigkeitsbeschreibung
Einführung eines unternehmensweiten, strukturierten Business Continuity Managements (ISO 22301, BSI 100-4)
• Durchführung einer Business Impact Analyse zur Ermittlung der kritischen Prozesse, Applikationen und Standorte
• Durchführung einer Risikoanalyse zur Feststellung der möglichen Szenarien
• Erstellung von Site Recovery Plänen (Pläne zur Vorgehensweise bei Ausfall eines Standortes) und Departmental Continuity Plans (Notfallvorkehrungen auf Abteilungsebene)
• Training und Sensibilisierung der Mitarbeiter, Kommunikation mit den Führungskräften und Schaffung von vergleichbaren Methoden innerhalb des Konzerns
• Planung und Durchführung von Notfallübungen (live und Paper-based)
CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, DIN ISO/IEC 27001, DIN ISO/IEC 27002, IT-Beratung (allg.), Krisenmanagement, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Krisenkommunikation
7/2012 – 12/2014
Tätigkeitsbeschreibung
Einführung eines unternehmensweiten Safety Management Systems
• Ist-Analyse der vorhandenen Vorgehensweisen
• Klärung der gesetzlichen und sonstigen Anforderungen mit externen Stellen
• Schaffung der organisatorischen Strukturen, z.B. Implementierung von Safety- und Fire Protection Officers sowie von unternehmensweit platzierten Sicherheitsbeauftragten und die Schaffung eines Arbeitsschutzausschusses sowie Erlangung des Sponsorship durch die Geschäftsführung
• Klärung von laufenden Fragestellungen mit Behörden, internen Gremien (Betriebsrat) und dem Management
BSI-Standards, Informationssicherheit, Arbeitsschutzmanagement / Arbeitssicherheitsmanagement, Arbeitssicherheit, Brandschutz / Brandschutztechnik, Projektmanagement, Projektleitung / Teamleitung, Personalberatung - Gesundheitsvorsorge
5/2011 – 6/2012
Tätigkeitsbeschreibung
Interimistische Übernahme der Aufgabe des Datenschutzbeauftragten für die Kabel BW GmbH
• Ansprechpartner für alle internen und externen Fragestellungen bezüglich Datenschutz
• Erstellung von Verfahrensverzeichnissen
• Konzeption und Durchführung von Schulungen und Sensibilisierungsmaßnahmen
• Prüfung und Freigabe von neuen Verfahren, Prozessen und Applikationen
• Kommunikation mit Behörden und Begleitung von externen Audits
• Auditierung von Vertragspartnern
Datenschutz, CISA (Certified Information Systems Auditor), IT Sicherheit (allg.), Informationssicherheit, IT-Beratung (allg.), Risikomanagement, Projektmanagement, Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor
4/2011 – 6/2011
Tätigkeitsbeschreibung
SAP Audit IT General Controls und Berechtigungen
• SAP Audit zu Berechtigungen und Systemparametern
• Ermittlungen von Schwachstellen in den Systemeinstellungen
• Untersuchung hinsichtlich kritischer Berechtigungskombinationen
• Projektleitung/Begleitung der Neukonzeption und Einführung eines SAP Berechtigungskonzeptes
ERP Beratung (allg.), SAP Sicherheit (allg.), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, SAP Berechtigung / User Verwaltung, IT-Beratung (allg.), Projektleitung / Teamleitung, Auditor
3/2011 – 6/2012
Tätigkeitsbeschreibung
Design und Implementierung von SOX IT General Controls
• Umsetzung der Konzernvorgaben zur Erlangung der SOX Compliance
• Entwicklung der IT Controls gemeinsam mit dem IT Management
• Dokumentation der Kontrollen und Testings in Openpages
• Kommunikation und Harmonisierung der Kontrollen im Konzern
• Koordination und Begleitung der Audittätigkeiten (intern und extern)
CISM (Certified Information Security Manager), CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, Projektmanagement (IT), IT-Governance, Risikomanagement, Compliance management, Certified in Risk and Information systems Control (CRISC), Projektmanagement - Risikomanagement, Projektleitung / Teamleitung, Auditor, Risikomanagement (Finan.)
4/2010 – 6/2012
Tätigkeitsbeschreibung
Durchführung von verschiedenen Audits im technischen, IT und betriebswirtschaftlichen Umfeld
• Datenanalysen von Störungstickets zur proaktiven Risikovermeidung
• Technische Risikoanalysen zu den Themen Ausfallsicherheit (z.B. Backupkonzepte, Stromversorgung und physische Sicherheit) und Business Continuity, Erstellung von Maßnahmenempfehlungen und Begleitung bei der Umsetzung
• Analyse von Beschaffungsvorgängen und Vertragsmanagement zur Ermittlung von Einsparpotentialen
Datenschutz, CISA (Certified Information Systems Auditor), BSI-Standards, IT Sicherheit (allg.), Informationssicherheit, IT-Governance, Risikomanagement, Betriebskontinuitätsmanagement (BKM), Certified in Risk and Information systems Control (CRISC), Projektleitung / Teamleitung, Projektmanagement - Audits, Auditor, Einkaufsrevision
Zertifikate
Ausbildung
Aalen
Über mich
Weitere Kenntnisse
• Prozessmanagement, Prozessoptimierung
• Enterprise & IT (operational) Risk Management
• Informationssicherheitsmanagement (BSI/ISO 27001)
• Business Continuity Management (ISO 22301, BSI 100-4)
• IT Audit, Compliance & Control (MaRisk/BAIT/IDW)
• Datenschutz und Datensicherheit
* Projektmanagement
• Berechtigungskonzepte (Konzeption und Prüfung)
• Anforderungsmanagement und Ausschreibungen
Persönliche Daten
- Deutsch (Muttersprache)
- Englisch (Fließend)
- Europäische Union
- Schweiz
Kontaktdaten
Nur registrierte PREMIUM-Mitglieder von freelance.de können Kontaktdaten einsehen.
Jetzt Mitglied werden