Informationssicherheits-Manager

Information Security Manager (ISO 27001)

Informationssicherheits-Manager

Der Informationssicherheits-Manager ist verantwortlich für die Aufrechterhaltung und Verbesserung des ISMS. Zum hauptsächlichen Aufgabengebiet des IT-Security-Managers gehören die Entwicklung, Anpassung, Umsetzung und Kontrolle von IT-Sicherheitsrichtlinien, der Aufbau eines Sicherheitsmanagements und Durchführung von Schutzbedarfsanalysen. Des Weiteren identifiziert er IT-Risiken und plant IT-Sicherheitskonzepte.
Die Rolle des ISB und des ISM wird bei SWW von einer Person wahrgenommen.

Aufgaben

• Ansprechpartner vor Ort bei Fragen zur Informationssicherheit.
• Kommunikation mit anderen ISM und ISB, strategische Zusammenarbeit und Zuarbeit bei technischen Fragestellungen.
• Kontrolle und Koordination der Aktivitäten und Arbeitsprozesse des ISMS-Teams.
• Kontrolle der Einhaltung der ISMS-Leit- und -Richtlinien.
• Planung und ggf. Durchführung von Schulungen zum Informationssicherheitsbewusstsein.
• Koordination von externen Dienstleistern zu Sicherheitsfragen.
• Management und Steuerung der Informationssicherheit.
• Mitwirkung bei der kontinuierliche Verbesserung.
• Durchführung des Risikomanagements.
• Durchführung des Security Incident Management.
• Nachweis und interne Auditierung der Informationssicherheit.
• Erstellen von Sicherheitsgutachten, Berichten und Prüfprotokollen, kontinuierliche Verfolgung der Trends zur methodischen und technischen Risikobewertung und integrieren in das Management der IT-Sicherheitsrisiken (ISMS)
• Konzeption und Umsetzung von Kontrollverfahren und Bewertung von Bedrohungspotenzialen sowie Restrisiken und erarbeiten der technischen und prozessualen Lösungen für die Behebung identifizierter Schwachstellen
• Entwickeln, pflegen und realisieren von IT-Sicherheitsvorgaben und -richtlinien für alle Geschäftsbereiche des Unternehmens.
• Technischer Ansprechpartner für IT-Fragen.

Befugnisse und Kompetenzen

• Ist in allen für die Informationssicherheit relevanten Themen zu informieren. (Sowohl auf Nachfrage als auch unaufgefordert, soweit Relevanz für die Informationssicherheit besteht.)
• Mit ihm müssen Vorhaben und Änderungen, die die Informationssicherheit berühren können frühzeitig abzustimmen (z.B. IT-Projekte, Änderungen IT-Infrastruktur, Änderungen von Rahmenbedingungen für Informationssicherheit).
• Hat Mitsprache- und Vetorecht bei allen Entscheidungen, die seinen Verantwortungsbereich betreffen (z.B. bei Initiierung IT-Projekten, Beschaffung informationsverarbeitende Systeme, Änderungen von Geschäftsprozessen, Qualifikation von Mitarbeitenden).
• Hat Zutrittsrecht zu allen Bereichen, in denen Informationstechnik eingesetzt wird und damit zusammenhängende Daten verarbeitet werden und zu allen Bereichen, in denen relevante Geschäftsprozesse und Informationen bearbeitet werden.

Qualifikation

• Abgeschlossenes Studium mit IT-Bezug, idealerweise ergänzt um kaufmännische Ausbildung oder vergleichbare Ausbildung bzw. Berufserfahrung.
• Berufserfahrung im Bereich Informationssicherheit und Datenschutz.
• Wissen um Standards, Methoden und Best Practices im Bereich Informationssicherheit (u.a. ISO 27001, BSI Grundschutz, u.a.).
• Fundierte Kenntnisse im Bereich technische und organisatorische Maßnahmen EU DSGVO.
• Erfahrung im Bereich IT-Risikomanagement und Business Continuity Management.
• Kenntnisse IT-Service-Management (ITIL o. ä.).
• Kenntnisse der relevanten regulatorischen sowie gesetzlichen Grundlagen zur Informationssicherheit.
• Idealerweise Zertifizierung als ISO 27001 Lead Auditor.
• Zertifikat ITIL Foundation.
• Teilnahme an Schulungen zu allen gültigen Richtlinien und Prozessen (Präsens-Seminar oder Onlineschulung).
• Kenntnis laufender Entwicklung mit Abonnement entsprechender Newsletter und Fachjournale.

• Hervorgehobene Softskills wie Dienstleistungsorientierung, hohes Maß an Durchsetzungsvermögen, Team- und Kommunikationsfähigkeit, Überzeugungskraft, Gesprächs- und Verhandlungskompetenz, besondere Fähigkeiten als Mediator und Kommunikator.