IT Risk & Compliance Manager (m/w/d)

- Sicherstellung und Weiterentwicklung eines ISO 27001-zertifizierten ISMS - Verantwortung für den Betrieb, die kontinuierliche Optimierung sowie die erfolgreiche Re-Zertifizierung eines bestehenden Information Security Management Systems gemäß ISO/IEC 27001 für eine MEDIAN-Gesellschaft. - Aufbau eines konzernweiten ISMS - Unterstützung beim Aufbau und der Implementierung eines ISMS für die Group IT im Kontext der digitalen Transformation. - Identifikation von Chancen und Risiken in einem sich wandelnden Umfeld und Begleitung des Veränderungsprozesses mit strukturiertem Risikomanagement. - Regulatorische und interne Compliance sicherstellen - Sicherstellung der Einhaltung relevanter gesetzlicher Vorgaben, branchenspezifischer Standards sowie interner Richtlinien hinsichtlich IT-Risiken, Datenschutz und Informationssicherheit. - Verwaltung des vollständigen ISMS-Dokumentationszyklus (Richtlinien, Prozesse, Versionierung). - IT-Risikomanagement & Governance - Erstellung, Pflege und Umsetzung von Sicherheitsrichtlinien, Leitlinien und Konzepten inklusive Ableitung und Überwachung technischer und organisatorischer Maßnahmen. - Aufbau, Pflege und Überwachung eines IT-spezifischen Risikoregisters und einer zentralen Kontrollbibliothek. - Planung und Durchführung von Risikoanalysen, inklusive Dokumentation und Kommunikation der Ergebnisse an relevante Stakeholder. - Unterstützung bei Risiko- und Compliance-Einschätzungen im Rahmen von Systemakquisitionen, Softwarefreigaben und Projekten. - Kategorisierung applikationsbezogener Risiken, Überwachung kritischer Schwellenwerte und Kommunikation an Applikationsverantwortliche. - Auditmanagement & Zertifizierungsvorbereitung - Organisation und Koordination interner sowie externer Audits (z. B. ISO 27001). - Nachverfolgung und Management ausstehender Empfehlungen externer Prüfungen. - Sicherstellung der vollständigen Dokumentation und Bereitstellung erforderlicher Nachweise. - Monitoring, Incident & Business Continuity Management - Überwachung sicherheitsrelevanter Ereignisse und Vorfälle; Koordination von Sicherheitsvorfällen. - Durchführung strukturierter Nachanalysen und Einleitung von Gegenmaßnahmen. - Unterstützung im IT-Service Continuity Management sowie Pflege entsprechender Wiederanlauf- und Notfallpläne. - Etablierung geeigneter Reaktions- und Wiederanlaufpläne. - Metriken & Reporting - Unterstützung bei der Entwicklung, Pflege und Überwachung relevanter KPIs zur Steuerung der IT-Sicherheit. - Lieferanten- & Drittanbieter-Risiken / Third-Party Risk Management - Überwachung und Bewertung sicherheitsrelevanter Anforderungen an externe Dienstleister im Rahmen eines Third-Party Risk Management (TPRM). - Durchführung von Due-Diligence-Prüfungen, Leistungsüberwachung sowie Verwaltung von externen Zugriffen. - Prüfung und Dokumentation privilegierter Zugänge und deren Berechtigung. - Regelmäßige Berichterstattung zum Risikomanagement im Kontext von Drittanbietern und Dienstleistern. - Unterstützung bei IT-Beschaffung & Softwarefreigaben - Verwaltung einer „Approved Software List“ und Begleitung der Softwarefreigabeprozesse. - Unterstützung bei der Bewertung von IT-Risiken im Rahmen von Angebots- und Ausschreibungsverfahren sowie technischen Due Diligence-Prozessen. - Kompetenzmanagement & Awareness - Mitwirkung bei der Planung und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen zur Förderung des Sicherheitsbewusstseins innerhalb der Organisation.