Expert-Consultant Informationssicherheit, Informationsrisikomanagement, IKT-Outsourcing Finanzsektor

3/2021 – 2/2026

Rück-Versicherung: Aufbau ISMS/IRM-Framework, Info Asset Management, Abmeldung von Feststellungen
Rückversicherung (Konzern), Hannover

Versicherungen

1000-5000 Mitarbeiter



Konzeption und Aufbau Informationsrisikomanagement-Framework nach DORA (Business Functions - Information Assets - ICT Assets) in Servicenow
Information Asset Management (Identification, Registration, Classification, Management)
Requirementsengineering für Entwicklung in Servicenow, agiles Projektmanagement, Testcases, Fachbereichs- und Expertentests, Schriftlich fixierte Ordnung (SfO), Training/Koordination
Integration Facility Mngmt, Auslagerungen, Procurement, BCM

Risikomanagement

10/2019 – 12/2020

Umsetzung und Abmeldung von BaFin/Bundesbank-, Interne Revisions- und Wirtschaftsprüfer-Feststellungen
(EMIR regulierte Konzern-AG), Leipzig

Banken und Finanzdienstleistungen

250-500 Mitarbeiter



Beratung/Abmeldung von BaFin/Bundesbank-, Interne Revisions- und Wirtschaftsprüfer-Feststellungen im Umfeld IT-/IS-Risiko-Management bzw. Provider-Management (OpRisk-Reporting wesentlicher IT-Provider, IT-Risikoanalysen von Auslagerungen).

Analyse, Bearbeitung, Umsetzung und Abmeldung diverser Feststellungen der Bundesbank (BaFin), Internen Revision, Wirtschaftsprüfer (Jahresabschlussprüfung) und Second Line-Funktionen im Bereich IT-/IS-Risikomanagement mit Bezug zu IT-Auslagerungen (Provider Management) (EMIR, EBA GL, MaRisk/BAIT)
Konzeption, Abstimmung, Umsetzung und Implementierung eines Provider-OpRisk-Reporting-Prozesses für 15 wesentliche IT-Provider mit jeweils mehreren Services. Neben IS-/IT-Risiken waren acht weitere OpRisk-Domänen involviert, bspw. Reputationsrisiko, Default-Risiko (Ausfall des Providers), Legal Risk, Sub-Provider-Risiko, Regulatorisches Risiko, Compliance Risiko u.a.
Analyse identifizierter Risiken im IT-Providerumfeld, Durchführung von Assessments, Ableitung von Risikobehandlungsmaßnahmen, Erarbeitung und Vorlage von Risikoakzeptanzanträgen sowie Entscheidungsvorlagen im Management Board, Überführung behandelter Risiken zur Überwachung der Maßnahmen­durch­führung in das Risikoregister (IS-/OpRisk), Monitoring der laufenden Maßnahmen und Re-Assessment der erzeugten Ergebnisse im Rahmen des Risiko-Reportings.
Konzeption von BAIT-Maturity Assessments bei (Sub-) Providern, Auswertung der Ergebnisse und Ableitung von Maßnahmen im Kontext übergreifender Risiko-Management-Aktivitäten über den gesamten IT-Stack (Outsourcer->Provider->Sub-Provider->Provider->Outsourcer).
Definition von relevanten Risikoberichten für IT-Provider, Erarbeitung von Risiko-Berichtsdomänen (pro Service, Business-Applikation, Information Asset, Reporting-Subject), Definition aussagefähiger Berichtsformate für die interne Information, Schnittstellen zu IS-Risiko- und OpRisk-Register.
Erstellung von Verfahrens- und Arbeitsanweisungen für den Prozess „Provider-Risk-Reporting“, Definition eines Rollenmodells (RACI) für die Akteure im Provider-Risk-Reporting, Training für formale und inhaltliche Prüfer mit spezieller Unterstützung bei der Identifikation und Dokumentation potentieller Risiken, Aufbau eines parallelen KVP-Prozesses zur Optimierung des Provider-Reportings.

Risiko-Manager

8/2017 – 6/2019

Umsetzung und Abmeldung von EZB-Feststellungen im Umfeld CMS/CMDB, ISM, SIEM, IS-Risikomanagment
Deutsche Hypothekenbank AG, Hannover

Banken und Finanzdienstleistungen

250-500 Mitarbeiter



Beratung und Abmeldung von EZB-Feststellungen im Umfeld CMS/CMDB, ISM, SIEM, IS-Risikomanagment

Maßnahmenverantwortlicher TPL für Konzeption und Einführung eines CMS bzw. einer CMDB mit Schnittstellen zu anderen IT-Prozessen (ISM, EAM, IT-Ops, BCM, BRM, diverse ITIL-Prozesse bzw. Funktionen). Neben der klassischen Nutzung der CMDB als „Herz der ITIL-Prozesse“ lag der Schwerpunkt auf Umsetzung von IS-Risk-Anforderungen an die CMDB als Risiko-Tool: Verarbeitung Ergebnisse aus Strukturanalyse, Schnittstellen zu Business-Prozessen bzw. Applikationen, Realisierung einer Schutzbedarfsvererbung in der CMDB, Schnittstellen zu IT-Providern (CI-Import, Schutzklassen-Export), Anbindung von Berechtigungs- bzw. Sicherheitskonzepten, SOLL-IST-Abgleiche, PenTest-Planung, Risiko-Reporting u.a.)
Anforderungsanalysen und -spezifikationen auf Basis der Identifikationen von IT-Compliance-Risiken der EZB
Erstellung von Konzepten zur Adaption und Umsetzung von Konzernrahmenwerken der NORD/LB bei der Deutschen Hypo im Rahmen der Identifikationen von IT-Compliance-Risiken der EZB
Design und Umsetzungskonzeption von IT-Governance Maßnahmen zur Mitigation von identifizierten IT-Compliance-Risiken der EZB inklusiver Erstellung zugehöriger Road-Maps
systematische Unterstützung von operativen IT-Governance Maßnahmen zur Mitigation von identifizierten IT-Compliance-Risiken der EZB gemäß der erstellten Road-Maps
Identifizierung und Berücksichtigung von Synergien themenübergreifender IT-Governance Maßnahmen zur Mitigation identifizierter IT-Compliance-Risiken der EZB

Risikomanagement