Zum Inhalt springen
Startseite » Projekte und Themenfelder » Informationssicherheit in der Finanzindustrie

Informationssicherheit in der Finanzindustrie

Kurzbeschreibung

Der ISO (Information Security Officer) fungiert als Berater des Unternehmens und der Geschäftsführung in allen Fragen der Informations- und Cybersicherheit. Er verantwortet die Implementierung der prozessualen und technischen Komponenten des ISMS und ihre adäquate Ausgestaltung im Einklang mit den Geschäftsprozessen und berichtet über Risiken und Sicherheitsvorfälle. Im Falle von Incidents agiert er als Kommunikator zwischen dem operativen Incident Management und den Entscheidungsgremien- und -personen und unterbreitet Vorschläge zum weiteren Vorgehen..

Der Themenkreis Informationssicherheit umfasst neben dem bedeutenden Teil der Cyber Security auch die Sicherheit klassischer Informationen. Daher obliegt dem ISO neben der Gestaltung der Cyber Security-Themen auch die Begleitung potenziell risikobehafteter Themen wie der Regelung des Zugangs zu Geschäftsräumen, dem Verhalten bei Remote-Arbeit oder der Lagerung und Vernichtung von (auch klassischen) Datenträgern. Er trägt Sorge für die Aktualität und die Umsetzung entsprechender Leitlinien.

Im Kontext der Finanzindustrie sind Cyber- und Informationsrisiken ein Teil der operationellen Risiken. Daher macht es aus Effizienzgründen Sinn, diese Themen organisatorisch zu bündeln. Offensichtlich sollte es darüber hinaus je nach organisatorischem Setup enge Beziehungen beispielsweise zum Auslagerungsmanagement, zum IT-Bereich, zum COO-Office etc. geben. Ziel muss immer eine einheitliche und umfassende Risikosicht in Verbindung mit einem überdachten und effizienten IKS sein, welche Redundanzen in den Risikoanalysen vermeidet und Aussagen auf den Punkt bringt.

Eigene Rolle

Verantwortlich für Informationssicherheit (ISO) in einer Investmentgesellschaft im Bereich Erneuerbare Energien und nachhaltige Infrastrukturprojekte. Aufbau und Gestaltung des ISMS. (siehe auch Cyber Security)

  • ISO (Informationssicherheits-Beauftragter)
  • Vierteljährliches Berichtswesen
  • Umfangreiche Aufbau- und Umsetzungsprojekte, insbesondere im Kontext von KAIT und Vorbereitungen für DORA
  • Erstellung von Policies und Leitlinien, Aufbau und Betrieb des Berichtswesens
  • Gestaltung von Incident Response Prozessen und aktive Einbindung
  • Begleitung von Penetration Tests
  • Konzeption und Durchführung von Schulungen und Awareness-Maßnahmen
  • Begleitung von internen und externen Audits
  • Kritische Würdigung von Szenarien zum Einsatz von Cyber Insurance
Besonderheiten

Hybride aufsichtsrechtliche Vorgaben aufgrund von unterschiedlich regulierten Gruppenunternehmen sowie diversifizierter Jurisdiktionen