Interim CISO | ISMS & GRC Consultant (ISO 27001, BSI Grundschutz, TISAX, KRITIS, NIS2)

Unterstützung (KMU bis Konzern) beim Aufbau, bei Einführung, Optimierung und Betrieb von ISMS nach ISO 27001 und BSI IT-Grundschutz – inkl. Risikomanagement, Governance, Policy-/Prozesswerk, Audit-Vorbereitung/-Begleitung sowie Compliance

• BSI-Standards8 J.
• Certified Information Security Manager1 J.
• Cyber Security1 J.
• Datenschutz1 J.
• Informationssicherheit2 J.
• ISO / IEC 270019 J.
• IT-Auditor9 J.
• IT-Sicherheitsberater
• Projektleitung / Teamleitung
• Risikoanalyse1 J.

Ich unterstütze Unternehmen (KMU bis Konzernstrukturen) beim Aufbau, der Weiterentwicklung und dem wirksamen Betrieb eines Information Security Management Systems (ISMS) – pragmatisch, auditfest und mit klarem Fokus auf Umsetzbarkeit im Tagesgeschäft. Mein Schwerpunkt liegt auf ISO/IEC 27001 (inkl. ISO 27002/27005) sowie BSI IT-Grundschutz und der strukturierten Umsetzung regulatorischer bzw. branchenbezogener Anforderungen – u. a. NIS2, KRITIS, TISAX, PCI DSS und VdS 3473/10000.

Regulatorik & Standards (Auszug):
• NIS2-Readiness / Umsetzung: Gap-Analyse, Maßnahmenprogramm, Governance, Nachweisführung, Management-Reporting
• KRITIS / BSI-orientiert: Schutzbedarfsfeststellung, Risikoanalyse, Umsetzungsplanung, auditfähige Dokumentation
• TISAX: VDA ISA-orientierte Implementierung/Weiterentwicklung, Auditvorbereitung, Maßnahmensteuerung
• PCI DSS: Control-Design, Policy- & Prozessanforderungen, Begleitung in Richtung Compliance
• VdS 3473/10000: Sicherheitsanforderungen und Nachweissystematik für Organisation/Prozesse

Was ich liefere (remote, end-to-end):
• ISMS-Design & Operating Model: Zielbild, Rollen/RACI, CISO-/ISB-Strukturen, Governance, PDCA, Kennzahlen/Reporting
• Policies/Standards/Verfahren: Erstellung/Überarbeitung eines konsistenten Policy-Sets inkl. Nachweisführung und Versionierung
• Risikomanagement: Methodik (ISO 27005/BSI-konform), Bewertungsschemata, Risiko-/Maßnahmenregister, Management-Reports
• Kontrollsystem & SoA: Control-Auswahl, Statement of Applicability, Implementierungsplanung, Wirksamkeitsprüfungen
• Audit Readiness & Zertifizierung: Gap-Analysen, Maßnahmenpläne, interne Audits, Audit-Begleitung bis zur Zertifizierung
• Awareness & Enablement: Workshops, Trainings, Security-Awareness-Programme für Fachbereiche und IT
• Programm-/Projektsteuerung: Roadmaps, Backlogs, Priorisierung, Stakeholder-Management, Steuerkreise/Boards, Lieferobjekte „on time“

Typische Ergebnisse:
• Ein funktionierendes, schlankes ISMS mit klaren Verantwortlichkeiten, messbaren Zielen und belastbaren Nachweisen
• Auditfähige Dokumentation (Policies, Prozesse, Register, SoA, Maßnahmen-Tracking) statt „Papier-ISMS“
• Ein steuerbares Risikobild inkl. Management-Reports und umsetzbaren Maßnahmenpaketen
• Schnelle Stabilisierung/Übernahme als Interim CISO/ISB, wenn es operativ brennt oder Ressourcen fehlen

Arbeitsweise:
Ich kombiniere strukturierte Analyse mit praxisnaher Umsetzung: klare Deliverables, kurze Iterationen, transparente Entscheidungen, und konsequente Ausrichtung auf die Wertschöpfung (Business-Prozesse, kritische Assets, reale Bedrohungen). Ich bin es gewohnt, mit IT, Fachbereichen, Management und internen/externalen Prüfern effizient zusammenzuarbeiten.

Einsatzmodell: 100% remote (DACH/EU), projektbasiert oder als Interim-Rolle, Teilzeit bis Vollauslastung nach Bedarf.

ISO 27001, ISO 27002, ISO 27005, ISMS, Statement of Applicability (SoA), Risikomanagement, Audit-Readiness, Interne Audits, Policies & Standards, Prozessmanagement, ITIL, GRC, Compliance, TISAX, KRITIS, NIS2, PCI DSS, VdS 3473/10000, DSGVO/GDPR, Awareness/Schulungen, Incident Response/Koordination