Interim CISO, ISMS, GRC, Risk Management, Compliance, Interne Kontrollsysteme, Interne Revision

2/2018 – offen

Meine Leistungen umfassen die Beratung und Umsetzung zu bzw. bei div. Fragestellungen rund um die Informationssicherheit, Datenschutz, Governance, Risk Management, Compliance, Interne Kontrollsysteme und Interne Revision im nationalen und internationalen Umfeld, sowohl auf Projektbasis als auch als Interim Manager:

Informationssicherheit und Datenschutz:
- Definition der Informationssicherheitsstrategie unter Berücksichtigung der Unternehmensziele und gesetzlichen Anforderungen (z. B. DSGVO, NIS-2)
- Implementierung und Weiterentwicklung von Informationssicherheits- und Datenschutzmanagementsystemen (ISO 27001))
- Definition und Implementierung von Informationssicherheitsprogrammen- und -Richtlinien sowie standardisierter Verfahren und Prozesse (SOC, Schulungsprogramme, BCM, Incident Management)
- Durchführung von Risiko- und Bedrohungsanalysen nach BSI-Standard und Beseitigung der Risiken durch geeignete techn. und organisatorische Maßnahmen (Datensicherheit, Zugriffskontrolle, Netzwerksicherheit, Endgeräte- und Systemsicherheit, Physische Sicherheit, Anwendungssicherheit, Dritte, Unternehmensresilienz, Telearbeit/Heimarbeitsplätze)
- Durchführung interner Audits und Due Diligence Prüfungen
- Umsetzung der Anforderungen der DSGVO

Risikomanagement
- Implementierung und Weiterentwicklung von Risikomanagementsystemen (ISO 31000; ISO 27005)
- Beratung zur Identifikation, Bewertung, Dokumentation und Kontrolle von Risiken
- Durchführung von Risikoanalysen
- Definition und Implementierung eines auf Ihr Unternehmen abgestimmten Verfahrens zur Risikobewertung
- Entwicklung von Maßnahmen zur Risikominimierung
- Risikooutsourcing (Versicherungsmanagement)

Compliance
- Umsetzung regulatorischer Anforderungen (z. B. DSGVO, EU Taxonomie, CSRD, CSDDD/LkSG, NIS-2, Whistleblower Guideline)
- Implementierung und Weiterentwicklung von Compliance-Managementsystemen (ISO 37301)
- Maßnahmen zur Förderung und Verbesserung der Compliance-Kultur
- Definition von Compliance-Zielen
- Identifizierung, Bewertung und Kontrolle von Compliance-Risiken
- Entwicklung von Compliance-Programmen (Maßnahmen)
- Implementierung einer Compliance-Organisation
- Umsetzung von Gesetzen und regulatorischen Vorgaben (konstitutiv und prozessual)
- Implementierung von Compliance-Richtlinien

Interne Revision:
- Risikobasierte Prüfungsplanung
- Leitung der Internen Revision
- Erstellung und Kommunikation von Revisionsberichten
- Prozessanalyse und Identifizierung von Verbesserungspotentialen
- Maßnahmenentwicklung zur Risikominimierung

Interne Kontrollsysteme:
- Implementierung von internen Kontrollsystemen in Übereinstimmung mit COSO II
- Definition/Design und Implementierung von Prozesskontrollen
- Wirksamkeitsprüfung von internen Kontrollen / internen Kontrollystemen

Darüber hinaus habe ich bereits bei diversen Projekten im Bereich Merger & Acquisitions mitgewirkt.

Cyber Security, Informationssicherheit, Security Operations Center (SOC), Compliance management, Risikomanagement, Fusionen und Übernahmen, DIN EN ISO 27001, Datenschutz

2/2013 – 2/2018

- Prozessanalysen als Basis für die Implementierung von internen Kontrollsystemen nach dem COSOII-Modell (inkl. SOX 404/J-SOX)
- Durchführung der Implementierung, Prüfung und Optimierung von internen Prozesskontrollen
- Analyse und Dokumentation von Internen Kontrollsystemen sowie Bewertung des Kontrolldesigns und der Wirksamkeit von internen Prozesskontrollen
- Durchführung von Workshops zur Förderung des Prozessdenkens und des Risikoverständnisses im Unternehmen

Projektmanagement

2/2013 – 2/2018

- Projektleitung Interne Revision und Prozessanalyse im Bereich Informationssicherheit
- Prüfung von Informationssicherheitsmanagementsystemen (IMS) auf Basis von ISO 27001 mit folgenden Schwerpunkten:
> Organizational Structure
> Policies and Guidelines
> Incident Management
> Access & Identity Management
> User Account Management
> Information Security Plan and Integration
> Security Testing and Monitoring
> Malicious Software Prevention, Detection and Correction
> Network Security
> Exchange of Sensitive Data
- Erarbeitung von Handlungsempfehlungen zur Risikominimierung, Effizienzsteigerung und Prozessverbesserung des IMS
> Follow Up Analysen zur Beurteilung der Umsetzung von Handlungsempfehlungen
> Präsentation und Verteidigung von Analyseergebnissen vor dem Unternehmensmanagement sowie Projekt- und Unternehmensausschüssen

Prozessmanagement, Motivation Projektteams, Projekt-Dokumentation, Projektdurchführung, Projektmanagement - Audits, Projektmanagement - Kommunikation, Projektmanagement - Risikomanagement, Projektorganisation, Prozessberatung