Ausgestaltung eines Information Security Governance Frameworks (basierend auf ISO 27001). Konkret müssen die Richtlinien der zweiten Ebene (erste Ebene 114.02) erstellt und in den Veröffentlichungsprozess des Unternehmens eingeführt werden.

Konkretisierung von abstrakten Informationssicherheitsvorgaben bis auf eine technische Ebene

Anpassung von Informationssicherheitsvorgaben an die spezifischen Anforderungen des Geschäftsfeldes

Beratung zu bestehenden Techniken sowie von Erarbeitung von Use Cases für das SIEM / SOC

Beschreibung:

Das IT-Sicherheitsgesetz sowie die im Juni 2017 in Kraft gesetzte Erste Verordnung zur Änderung der BSI-Kritisverordnung definieren neue, höhere Anforderungen an die IT-Sicherheit. Das Unternehmen ist Betreiber

kritischer Infrastruktur im Sinne der Verordnung. Diese höheren Anforderungen sind bis Juni 2021 auditreif umzusetzen. Die entsprechende Ausgestaltung wird das Unternehmen zunächst in Projektform und durch zusätzliche

Beraterunterstützung starten und später in eine Linienorganisation überführen.

Zentrale Aufgabe ist es, den rund 420 Eisenbahnverkehrsunternehmen eine Infrastruktur in hoher Qualität und Verfügbarkeit diskriminierungsfrei zur Verfügung zu stellen und den Betrieb der Infrastruktur zu managen.

Dazu gehören die Erstellung von Fahrplänen in enger Zusammenarbeit mit den Kunden, die Betriebsführung sowie das Baumanagement und die Instandhaltung. Hinzu kommt die Weiterentwicklung der Schieneninfrastruktur durch Investitionen in das bestehende Netz, in moderne Leit- und Sicherungstechnik sowie in Neu- und Ausbaustrecken.

Zur Erfüllung dieser Aufgaben werden Informationstechnik, Kommunikationstechnik und Leit- und Sicherungstechnik eingesetzt. Alle drei Technikfelder sind Inhalt dieses Projektes und betrachtungsgegenstand der IT-Sicherheit.

Muss-Anforderungen:

Vorgehensmodelle und Prozessberatung

Problemlösungs-/ Arbeitsorganisations-Knowhow

Kommunikations- und Moderations-Know-how

Nachweisbare sehr gute Kenntnisse der Prozesse im IT-Sicherheitsmanagement, insbesondere der Norm ISO 27001 und der BSI Grundschutz-Kataloge

Nachweisbare (Projekt-)Erfahrungen und Kenntnisse in der Entwicklung und Implementierung von Information Security Prozessen und Informationssicherheitsregelwerken

Soll-Anforderungen:

Branchen- /Integrationswissen

Präsentations-Know-how

Sehr gute analytische und konzeptionelle Fähigkeiten

Hohe Fähigkeit zur Problemanalyse und zu konzeptioneller Arbeit

Koordinationskompetenz und Ergebnisorientierung

Möglichst breite Kenntnisse aktueller Informations- und Kommunikationstechnologien

Hohe Affinität zu Themen der IT-Sicherheit

Hohes Maß an Eigeninitiative, Selbständigkeit und Kreativität

Integrative Persönlichkeit mit viel Moderations- und Kommunikationserfahrung

Fähigkeit Fachbereich und weitere Stakeholder zu beraten

Nachweisbare (Projekt-)Erfahrungen im Bereich IT-Governance, IT-Compliance, IT-Risikomanagement

Nachweisbare (Projekt-)Erfahrungen in der Durchführung der Funktion Informationssicherheitsbeauftragter

Fundierte Kenntnisse in Auditieren von komplexen IT-Systemen und Prozessen

Nachweisbare (Projekt-)Erfahrungen in der Analyse der Geschäftsprozesse, Systeme und Projekte im Hinblick auf Risiken, Anforderungen sowie Wirtschaftlichkeit.

Vorbereitung, Durchführung und Auswertung der Schutzbedarfsanalyse über Workshops und Interviews mit Risiko-Owner und OpRisk

Fundierte Kenntnisse in Erstellen einer IT-Strategie und strategischen Roadmap

Fundierte Kenntnisse in Frameworks (z.B. COBIT, BSI-Grundschutz, ISO 2700X, NIST CSF)

Zertifikationsnachweis als ISO 27001 Practitioner / Information Security Officer

Zertifikationsnachweis als Certified Information Security Manager (CISM)

Zertifikationsnachweis als Certified Information Systems Auditor (CISA)

Zertifiziert in ITILv3 oder ITILv4