IT Risk & Compliance Manager / Informationssicherheitsbeauftragter (m/w/d)

Überblick

IT Risk & Compliance Manager / Informationssicherheitsbeauftragter (m/w/d) bei TieTalent. Wir suchen Sie ab sofort, um ein ISO 27001-zertifiziertes ISMS sicherzustellen, weiterzuentwickeln und ein konzernweites ISMS aufzubauen.

Verantwortlichkeiten

• Sicherstellung und Weiterentwicklung eines ISO/IEC 27001-zertifizierten ISMS.
• Aufbau eines konzernweiten ISMS: Unterstützung beim Aufbau und der Implementierung eines ISMS für die Group IT im Kontext der digitalen Transformation; Identifikation von Chancen und Risiken in einem sich wandelnden Umfeld sowie Begleitung des Veränderungsprozesses mit strukturiertem Risikomanagement.
• Regulatorische und interne Compliance sicherstellen: Sicherstellung der Einhaltung relevanter gesetzlicher Vorgaben, branchenspezifischer Standards sowie interner Richtlinien hinsichtlich IT-Risiken, Datenschutz und Informationssicherheit; Verwaltung des vollständigen ISMS-Dokumentationszyklus (Richtlinien, Prozesse, Versionierung).
• IT-Risikomanagement & Governance: Erstellung, Pflege und Umsetzung von Sicherheitsrichtlinien, Leitlinien und Konzepten inklusive Ableitung und Überwachung technischer und organisatorischer Maßnahmen; Aufbau, Pflege und Überwachung eines IT-spezifischen Risikoregisters und einer zentralen Kontrollbibliothek; Planung und Durchführung von Risikoanalysen sowie Kommunikation der Ergebnisse an relevante Stakeholder; Unterstützung bei Risiko- und Compliance-Einschätzungen im Rahmen von Systemakquisitionen, Softwarefreigaben und Projekten; Kategorisierung applikationsbezogener Risiken, Überwachung kritischer Schwellenwerte und Kommunikation an Applikationsverantwortliche.
• Auditmanagement & Zertifizierungsvorbereitung: Organisation und Koordination interner sowie externer Audits (z. B. ISO 27001); Nachverfolgung und Management ausstehender Empfehlungen externer Prüfungen; Sicherstellung der vollständigen Dokumentation und Bereitstellung erforderlicher Nachweise.
• Monitoring, Incident & Business Continuity Management: Überwachung sicherheitsrelevanter Ereignisse und Vorfälle; Koordination von Sicherheitsvorfällen; Durchführung strukturierter Nachanalysen und Einleitung von Gegenmaßnahmen; Unterstützung im IT-Service Continuity Management sowie Pflege entsprechender Wiederanlauf- und Notfallpläne; Etablierung geeigneter Reaktions- und Wiederanlaufpläne.
• Metriken & Reporting: Unterstützung bei der Entwicklung, Pflege und Überwachung relevanter KPIs zur Steuerung der IT-Sicherheit.
• Lieferanten- & Drittanbieter-Risiken / Third-Party Risk Management: Überwachung und Bewertung sicherheitsrelevanter Anforderungen an externe Dienstleister; Durchführung von Due-Diligence-Prüfungen; Leistungsüberwachung sowie Verwaltung von externen Zugriffen; Prüfung und Dokumentation privilegierter Zugänge und deren Berechtigung; regelmäßige Berichterstattung zum Risikomanagement im Kontext von Drittanbietern und Dienstleistern.
• Unterstützung bei IT-Beschaffung & Softwarefreigaben: Verwaltung einer „Approved Software List“ und Begleitung der Softwarefreigabeprozesse; Unterstützung bei der Bewertung von IT-Risiken im Rahmen von Angebots- und Ausschreibungsverfahren sowie technischen Due Diligence-Prozessen.
• Kompetenzmanagement & Awareness: Mitwirkung bei der Planung und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen zur Förderung des Sicherheitsbewusstseins innerhalb der Organisation.

Qualifikationen & Ausbildung

• Ein abgeschlossenes Studium im Bereich (Wirtschafts-) und/ oder Informatik oder eine vergleichbare Qualifikation.
• Idealerweise Zertifizierung als ISO/IEC 27001 Lead Implementer oder ISO/IEC 27001 Lead Auditor oder vergleichbare Qualifikation.
• Inhaber einer anerkannten beruflichen Qualifikation im Bereich Risikomanagement, Compliance oder Audit und/oder abgeschlossenes Hochschulstudium, idealerweise in Risikomanagement, Betriebswirtschaft oder einem verwandten Fachgebiet.

Fachliche Kenntnisse & Fähigkeiten

• Mindestens 5 Jahre Berufserfahrung in der IT mit Schwerpunkt IT-Sicherheit.
• Fundiertes Wissen in Informationssicherheit, regulatorischer Compliance und Data-Governance-Best Practices im Unternehmensumfeld.
• Umfassende Kenntnisse und Erfahrungen im Kontext IT-Sicherheit und dazugehöriger Normen, Standards und Gesetze (z. B. ISO 2700x, NIS2, EU AI Act, BSI IT-Grundschutz und IT-Sicherheitsgesetz).
• Praktische Erfahrung im Risikomanagement innerhalb regulierter Branchen, mit fundierten Kenntnissen über Risikorahmenwerke, Bewertungsmethoden und Maßnahmen zur Risikominderung.
• Klares Verständnis für den Wandel von reiner „Checkbox-Compliance“ hin zu einem integrierten, risikobasierten Governance-Ansatz.
• Nachweisbare Leidenschaft für Risikomanagement mit dem Fokus, Risikobewusstsein fest in den täglichen Betriebsabläufen und Entscheidungsprozessen der Organisation zu verankern.
• Belastbar, integer und detailorientiert, mit hohem Anspruch an Genauigkeit und Compliance-Exzellenz.
• Sicher im Umgang mit mehreren Aufgaben gleichzeitig in einem dynamischen und schnelllebigen Arbeitsumfeld.
• Hervorragende administrative und organisatorische Fähigkeiten, sicherer Umgang mit MS Excel, PowerPoint, Word sowie Erfahrung mit Projekt- und Governance-Tools.
• Erfahrung in der Erstellung von Berichten und Präsentationen für das obere Management.
• Technisch versiert und in der Lage, sich mit IT- und Cybersecurity-Konzepten auseinanderzusetzen – keine tiefgehende technische Expertise erforderlich, aber die Bereitschaft und Fähigkeit, Technologien und deren Risikobedeutung im Unternehmen zu verstehen.
• Ausgeprägtes Interesse an Cybersecurity, IT-Support (ITIL) und Governance-Praktiken.
• Selbstmotiviert und proaktiv, mit der Fähigkeit, sowohl eigenständig zu arbeiten als auch effektiv abteilungsübergreifend zu kommunizieren, einschließlich regelmäßiger Zusammenarbeit mit Führungskräften, Direktoren und Geschäftspartnern.
• Sicherer Umgang mit MS-Anwendungen (Word, Excel, PowerPoint) sowie Bereitschaft, sich in neue ITSM- und Projektmanagement-Tools einzuarbeiten.

Erfahrung

• Erfahrung in der Arbeit innerhalb einer Projektmanagement-Struktur, einschließlich der Arbeit nach Zielvorgaben und Ergebnissen sowie der regelmäßigen Berichterstattung über Fortschritt und Teamstatus.
• Nachgewiesene Erfahrung in der Bereitstellung hochwertiger, werteorientierter Ergebnisse in den Bereichen Risiko, Compliance oder Governance.
• Erprobte Erfahrung in IT-Risiko- und Compliance-Funktionen mit nachweislicher Fähigkeit zur effektiven Zusammenarbeit mit IT-Abteilungen und funktionsübergreifenden technischen Teams.
• Tiefgehendes Verständnis von ISO-Standards und regulatorischen Compliance-Rahmenwerken, einschließlich ISO 27001, NIS2 und DSGVO (GDPR).
• Praktische Erfahrung in der Implementierung und laufenden Betreuung eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS).
• Fundierte Kenntnisse in Risikobewertungsmethoden, Scoring-Systemen und Prozessen zur Risikoberichterstattung.
• Erfahrung in der Definition, Verfolgung und Berichterstattung von GRC-Kennzahlen (Governance, Risk, Compliance KPIs), einschließlich Datenerhebung und -analyse zur Unterstützung von Reporting-Anforderungen.
• Solides Grundverständnis technischer IT-Konzepte; auch wenn die Rolle administrativ ausgerichtet ist, ist ein grundlegendes Verständnis der IT-Domänen unerlässlich.
• Erfahrung in der Durchführung von IT-Risikoanalysen und Gap-Analysen, inklusive der Fähigkeit, Compliance-Lücken gegenüber Rahmenwerken wie ISO 27001 und relevanten gesetzlichen Vorgaben zu identifizieren und zu bewerten.
• Sichere Planung und Durchführung von Auditplänen und internen Audits gemäß den Anforderungen der ISO 27001/27002.
• Nachweisliche Fähigkeit, IT-Konzepte, Verfahren und administrative Prozesse klar und präzise zu dokumentieren und zu kommunizieren.

Kommunikation

• Ausgezeichnete Kommunikationsfähigkeiten mit der Fähigkeit, den Kommunikationsstil je nach Zielgruppe flexibel anzupassen.
• Erfahrung im Aufbau und der Pflege von Beziehungen über Distanz hinweg; Kommunikation mit einer Vielzahl (oft vertraulicher) Themen.
• Regelmäßiger Umgang mit herausfordernden und anspruchsvollen Situationen sowie mit einer Vielzahl interner und externer Stakeholder, was ein hohes Maß an ausgeprägter Kommunikations- und Sozialkompetenz erfordert.
• Kommunikation auf allen Ebenen: Interaktion mit Mitarbeitenden verschiedener Hierarchieebenen zur Erhebung und Weitergabe von Informationen über E-Mail und digitale Kommunikationsplattformen.
• Sichere Deutsch- und Englischkenntnisse in Wort und Schrift.

Arbeitsumgebung

• Die Anwesenheit im IT-Büro ist an mindestens zwei Tagen pro Woche vorgesehen, abhängig von den betrieblichen Erfordernissen.
• Die Komplexität und der Wandel innerhalb der IT-Abteilung können mitunter über das Maß einer standardisierten Rolle hinausgehen; es ist wichtig, die Kenntnisse kontinuierlich weiterzuentwickeln, um den übergeordneten Kontext besser zu verstehen.
• Ein unbefristetes Beschäftigungsverhältnis mit wettbewerbsfähiger Vergütung; spannende und verantwortungsvolle Position in einem dynamisch wachsenden Unternehmen mit großem Gestaltungsspielraum.
• Ein sympathisches und fachlich versiertes Team; Flache Hierarchien und kurze Entscheidungswege; offene Unternehmenskultur.
• Mobiles und flexibles Arbeiten von zu Hause oder der Zentrale in Berlin inkl. Vertrauensarbeitszeit, Notebook und Mobiltelefon.
• Individuelle Weiterbildungs- und Weiterentwicklungsmöglichkeiten innerhalb der Abteilung; externe Schulungsmöglichkeiten und Unterstützung bei berufsbegleitenden Weiterbildungen.
• Betriebliche Altersvorsorge mit Arbeitgeberzuschuss; Corporate Benefits; regelmäßig frisches Obst im Büro.
• Einen modernen und barrierefreien ergonomisch ausgestatteten Arbeitsplatz im zentral gelegenen Büro in Berlin-Charlottenburg mit sehr guter U/S-Bahn- und Bus-Anbindung; abschließbare Fahrradstellplätze und freie Parkplätze in der Umgebung.

Seniority level

• Mid-Senior level

Employment type

• Full-time

Job function

• Information Technology

Industries

• Technology, Information and Internet

#J-18808-Ljbffr