IT-Security Berater mit IT-Risikomanagement und IT-Compliance

3/2008 – offen

IT-Sicherheitsarchitektur, Sicherheits- und Risikobewertungen, IT-Compliance, IT-Architektur, Basisarchitektur
Erstellung von Risikobewertungen für mobile Devices, Web 2.0, Internetportale und andere heterogene IT-Systeme in komplexen Umgebungen. Dabei wurde jeweils die Ermittlung geeigneter Maßnahmen zur Risikobehandlung für die angemessene Gewährleistung von Vertraulichkeit, Integrität, Nachvollziehbarkeit und Verfügbarkeit durchgeführt.
IT-Sicherheitsarchitektur mit Ermittlung und Bewertung von Handlungsal-ternativen sowie der Prüfung von Architekturanträgen.
IT-Sicherheitsarchitektur und IT-Architektur für internationale Projekte mit hochverfügbaren IT-Systemen einschließlich Applikationssicherheit.
IT-Architektur für High-Performance Storage, CAx-Workstations, Logistik Anwendung und Remote Access.
Erstellung von Richtlinienvorschlägen für Migrationen, Standortwahl und Netzprotokollen. Erfassung und Bewertung von Compliance-Anforderungen an die IT-Architektur im internationalen Umfeld mit dem Schwerpunkt USA, FRCP, eDiscovery. Anwendung interner und internationaler Richtlinien, Standards und Frameworks wie ISO 2700x, TOGAF, IT-Grundschutz, ITIL und COBIT für Sicherheits- und Organisationskonzepte sowie Risikobewer-tungen geplanter und bestehender IT-Architekturen. Bezüglich Verfügbarkeit wurden geeignete und wirksame Notfallvorsorgemaßnahmen ermittelt und vorgegeben. Konzeption und Kommunikation teilweise in englischer Sprache.

Umgebung: Komplexe heterogene und internationale IT-Infrastruktur mit zOS-, UNIX-, LINUX- und Windows Systemen, mobile Devices wie iPad, iPhone (iOS) und Android, Web 2.0 Plattformen, SAP, Oracle Datenbanken, Applikationssicherheit, Kryptografie mit Schlüsselmanagement, High-Performance Storage, NAS, CAx-Workstations, SSO, LDAP, komplexe Firewalls und mehrstufige Netzwerkzonen, mehrstufiger Virenschutz, zentrale Datensicherung, zentralem Netz- und Systemmanagement, hochverfügbare SAN und Storage, weltweiter Vernetzung der Standorte und mehrere Outsourcing-Partner.
Unterbrechungen:
Zeitraum 10/2008 bis 9/2009
Zeitraum 1/2011 bis 4/2011 Teilzeit 50%

6/2006 – 4/2011

Vorbereitung und Begleitung von Audits analog Audits zur Zertifizierung gemäß ISO 27001 auf Basis IT-Grundschutz.
Mehrere IT-gestützte Fachverfahren wurden von mir auf jährli-che Audits analog zu Audits gemäß ISO 27001 auf Basis IT-Grundschutz vorbereitet. Dabei wurden von mir auch die interne IT-Sicherheitsrevision durchgeführt. Die Dokumentation erfolgte im GSTOOL des BSI. Die Mitar-beiter der verschiedenen Fachbereiche wurden von mir auf die Audits vor-bereitet und während der Audits begleitet.
Erstellung der Referenzdokumente zur Übergabe an die externen Auditoren. Ergänzend dazu wurden alle im Audit zusätzlich erforderlichen Dokumente, wie Notfallhandbücher und IT-Sicherheitskonzepte gesammelt und bei Bedarf erstellt und aktualisiert und abschließend den Referenzdokumenten beigefügt. Anwendung der BSI-Standards „100-1 Managementsysteme für Informationssicherheit“, „100-2 IT-Grundschutz-Vorgehensweise“, „100-3 Risikoanalyse auf der Basis von IT-Grundschutz“ und „100-4 Not-fallmanagement“. Weitere Tätigkeiten: Erstellung und Aktualisierung von IT-Sicherheitsrichtlinien für Server, IT-Nutzung, SAN, IT-Sicherheitsrevision und weiterer Bereiche. Die Notfallhandbücher wurden eng mit den jeweiligen fahbereichen abgestimmt und enthielten alle erforderlichen Informationen einschließlich der organisatorischen und technischen Notfallvorsorgemaßnahmen und Wiederanlaufverfahren. Die Schnittstellen des IT-Sicherheitsmanagements mit den unterschiedlichen Service-managementprozessen wurden definiert und mit den Fachbereichen abge-stimmt.

Umgebung: GSTOOL, Verinice, hochverfügbare und heterogene IT-Infrastruktur an zwei Standorten mit UNIX-, Windows 2003 und Windows 2008 R2 Servern, komplexe Firewalls, mehrstufiger Virenschutz, zentrale Datensicherung, zentrales Netz- und Systemmanagement, Verzeichnisverschlüsselung, hochverfügbare WAN, LAN, SAN und Storages, landesweite Vernetzung

Unterbrechungen:
3/2008 bis 9/2008
10/2009 bis 12/2010
01/2011 bis 4/2011 in Teilzeit