Unterstützung im Tagesgeschäft der Organisationseinheit IT-Steuerung, d.h. - Rezertifizierung von Berechtigungen und Rollen initiieren und nachhalten - Funktionstrennungskonflikte im Berechtigungsmanagement identifizieren und bereinigen - Weiterentwicklung des bestehenden IKS - Unterstützung in der Aufbereitung des Managementreportings und der Ermittlung der hierfür erforderlichen Kennzahlen und Messgrößen (z.B. KPIs, IKS) - Weiterentwicklung des Managementreportings zur Optimierung der Steuerungsqualität - Unterstützung bei der Abarbeitung von Prüfungsfeststellungen - Bearbeitung von Maßnahmen resultierend aus Feststellungen der in 2023 erfolgten KWG § 44 Prüfung - Weiterentwicklung der Prozesse und Beratung hinsichtlich regulatorischer Entwicklungen in der Organisationseinheit IT-Steuerung des Bereichs Organisation und Informationstechnologie - Umsetzung der Anforderungen aus der Verordnung (EU) 2022/2554 über die digitale Operationale Resilienz im Finanzsektor (Digital Operational Resilience Act) - Analyse von regulatorischen Entwicklungen, z.B. der aufsichtsrechtlichen Standards und deren Auswirkung auf die IT-Steuerung und das Prozessmanagement der ISB - Weiterentwicklung des Informationsverbundes mittels Einsatzes einer Anwendung (z.B. RIMAGO) Für den geplanten Leistungszeitraum werden folgende Abrufmengen geschätzt: 2024 (2. Halbjahr): 525 PT 2025 bis einschl. 2027: 945 PT 2028 (1. Halbjahr): 473 PT Die Abrufe finden jährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB. | Der Informationssicherheitsbeauftragte, die Organisationseinheiten IT-Steuerung, IT-Betrieb und IT-Risikomanagement benötigen Unterstützung und Beratungsleistungen in folgenden Aufgabengebieten: - Informationssicherheitsmanagement: Weiterentwicklung der Aufbau- und Ablauforganisation, der Prozesse und Kontrollen, der Konzeption, der Implementierung sowie der Operationalisierung zu beachtender IT-Standards, u.a. BSI und ISO 2700x - Fachliche Unterstützung des Informationssicherheitsbeauftragten und des ISMS-Teams bei den folgenden Aufgaben: -- Unterstützung bei der jährlichen Überarbeitung der Informationssicherheitsleitlinie sowie der Informationssicherheitsrichtlinien -- Unterstützung bei der Durchführung der 2LoD-Überwachungsfunktion (second line of defence) -- Unterstützung bei der Weiterentwicklung des SOLL-Referenzmaßnahmenkataloges -- Unterstützung bei der Durchführung von Audits -- Unterstützung bei der Weiterentwicklung des Quartalsreportings -- Unterstützung bei der Entwicklung von Sicherheitsvorgaben für externe IT-Dienstleister -- Zusammenarbeit mit dem IT-Risikomanagement Operative Informationssicherheit (Aufbau- und Ablauforganisation, Prozesse und Kontrollen, Konzeption, Implementierung, Operationalisierung, unter Beachtung u.a. der IT-Standards BSI und ISO 2700x: - Überarbeitung und Weiterentwicklung der Richtlinien und Verfahren im Bereich operative Informationssicherheit - Unterstützung der Bank bei der Festlegung einzubeziehender IT-Systeme in die Protokollierung und Überwachung - Unterstützung der Bank bei der Operationalisierung des Security Operations Center - Unterstützung der Bank bei der Weiterentwicklung des SIEM, der Use-Cases und bei der Auswertung von Schwachstellenanalysen und Pentesting - Unterstützung der Bank bei der Operationalisierung der Maßnahmen zur Sicherstellung der Informationssicherheit inkl. bei externen Dienstleistern - Unterstützung der Bank bei der Behandlung von Informationssicherheitsereignissen und -vorfällen - Unterstützung der Bank bei der Operationalisierung des Soll-Ist-Abgleichs sowie der Rezertifizierung technischer Einstellungen - Aufbau eines Informationssicherheitsteams zur Unterstützung des ISB - Überarbeitung und Weiterentwicklung der Vorgaben für das Security Operations Center und Sicherheitsmeldungen (z.B. Cert-Meldungen vom BSI) - Unterstützung des ISB bei der Operationalisierung der "Second Line of Defence"-Überwachungsfunktion - Zusammenarbeit mit dem Informationssicherheitsmanagement - Knowhow-Transfer und Weiterentwicklung des bereits eingesetzten SIEM Im geplanten Leistungszeitraum von 4 Jahren wird mit einer Abrufmenge von durchschnittlich rd. 290 PT jährlich kalkuliert. Gestaffelt auf das 1. Jahr mit 525 PT, 2. Jahr mit 315 PT, 3. Jahr mit 210 PT und 4. Jahr mit 105 PT. Die Abrufe finden halbjährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB. | Aufgaben IT-Risikomanagement: - Unterstützung bei der Steuerung und Überwachung der gemeldeten und erkannten IT-Risiken sowie der Durchführung der regelmäßigen IT-Risikoinventur - Durchführung von Risikoanalysen - Unterstützung bei der Durchführung der Business Impact Analyse und Schutzbedarfsanalyse unter Berücksichtigung des Informationsverbunds, des Informationssicherheitsmanagements und des Notfallmanagements - Unterstützung bei der Durchführung der Schadensfallanalyse und des IT-Schadensfallmanagements - Unterstützung bei der Einleitung und Steuerung von risikoreduzierenden Maßnahmen - Unterstützung bei der Berichterstattung der Informations- und Informationssicherheitsrisiken - Durchführung und Dokumentation der Kontrollen bezüglich des IT-Risikomanagements Aufgaben IT-Notfallmanagement: - Zusammenarbeit mit dem zentralen Notfallbeauftragten der ISB und fachlichen Funktionen - Mitwirkung bei der Erstellung von BCM Notfallhandbüchern und bei der Erstellung von entsprechenden Zumeldungen - Mitwirkung bei der Erstellung und Unterstützung bei der Überprüfung von IT-Notfallplänen (Geschäftsfortführungspläne, Wiederanlauf- bzw. Wiederherstellungspläne): z. B. Bereitstellung der Templates und Koordination des Inputs - Unterstützung bei der Koordination- und Überwachung der IT-Testplanung und Testdurchführung - Unterstützung bei der Einwertung der Ergebnisse aus dem Soll/Ist Vergleich bezüglich BCM Referenzmaßnahmen in Verbindung mit Auslagerungen - Unterstützung bei der Analyse und Dokumentation von Ereignissen und Notfällen im Rahmen des IT-Notfallmanagements - Unterstützung bei der Berichterstattung des IT-Notfallmanagements - Durchführung und Dokumentation der Kontrollen bezüglich des IT-Notfallmanagements Im geplanten Leistungszeitraum von 4 Jahren wird mit einer Abrufmenge von 630 PT jährlich kalkuliert. Die Abrufe finden jährlich statt, es besteht keine Abnahmeverpflichtung seitens der ISB.