IT Risk & Compliance Manager / Informationssicherheitsbeauftragter (m/w/d)

Jobbeschreibung

MEDIAN ist Teil der MEDIAN Group, einem der führenden europäischen Anbieter auf dem Gebiet der medizinischen Rehabilitation und der psychischen Gesundheit. Mit mehr als 120 Einrichtungen in ganz Deutschland bietet MEDIAN ein dynamisches und innovatives Umfeld für Beschäftigte in den unterschiedlichsten Behandlungsbereichen mit vielfältigen Einstiegs- und Entwicklungsmöglichkeiten. Als Spezialist für Rehabilitation und Teilhabe begleiten wir unsere Patientinnen und Patienten auf dem Weg zur Genesung und zurück in die Gesellschaft – ganz nach unserem Leitsatz „Das Leben leben“.

Wir suchen Sie ab sofort als IT Risk & Compliance Manager / Informationssicherheitsbeauftragter (m/w/d).

Sicherstellung und Weiterentwicklung eines ISO 27001-zertifizierten ISMS

• Verantwortung für den Betrieb, die kontinuierliche Optimierung sowie die erfolgreiche Re-Zertifizierung eines bestehenden Information Security Management Systems gemäß ISO/IEC 27001 für eine MEDIAN-Gesellschaft.

Aufbau eines konzernweiten ISMS

• Unterstützung beim Aufbau und der Implementierung eines ISMS für die Group IT im Kontext der digitalen Transformation.
• Identifikation von Chancen und Risiken in einem sich wandelnden Umfeld und Begleitung des Veränderungsprozesses mit strukturiertem Risikomanagement.

Regulatorische und interne Compliance sicherstellen

• Sicherstellung der Einhaltung relevanter gesetzlicher Vorgaben, branchenspezifischer Standards sowie interner Richtlinien hinsichtlich IT-Risiken, Datenschutz und Informationssicherheit.
• Verwaltung des vollständigen ISMS-Dokumentationszyklus (Richtlinien, Prozesse, Versionierung).

IT-Risikomanagement & Governance

• Erstellung, Pflege und Umsetzung von Sicherheitsrichtlinien, Leitlinien und Konzepten inklusive Ableitung und Überwachung technischer und organisatorischer Maßnahmen.
• Aufbau, Pflege und Überwachung eines IT-spezifischen Risikoregisters und einer zentralen Kontrollbibliothek.
• Planung und Durchführung von Risikoanalysen, inklusive Dokumentation und Kommunikation der Ergebnisse an relevante Stakeholder.
• Unterstützung bei Risiko- und Compliance-Einschätzungen im Rahmen von Systemakquisitionen, Softwarefreigaben und Projekten.
• Kategorisierung applikationsbezogener Risiken, Überwachung kritischer Schwellenwerte und Kommunikation an Applikationsverantwortliche.

Auditmanagement & Zertifizierungsvorbereitung

• Organisation und Koordination interner sowie externer Audits (z. B. ISO 27001).
  Nachverfolgung und Management ausstehender Empfehlungen externer Prüfungen.
• Sicherstellung der vollständigen Dokumentation und Bereitstellung erforderlicher Nachweise.

Monitoring, Incident & Business Continuity Management

• Überwachung sicherheitsrelevanter Ereignisse und Vorfälle; Koordination von Sicherheitsvorfällen.
• Durchführung strukturierter Nachanalysen und Einleitung von Gegenmaßnahmen.
• Unterstützung im IT-Service Continuity Management sowie Pflege entsprechender Wiederanlauf- und Notfallpläne.
• Etablierung geeigneter Reaktions- und Wiederanlaufpläne.

Metriken & Reporting

• Unterstützung bei der Entwicklung, Pflege und Überwachung relevanter KPIs zur Steuerung der IT-Sicherheit.

Lieferanten- & Drittanbieter-Risiken / Third-Party Risk Management

• Überwachung und Bewertung sicherheitsrelevanter Anforderungen an externe Dienstleister im Rahmen eines Third-Party Risk Management (TPRM).
• Durchführung von Due-Diligence-Prüfungen, Leistungsüberwachung sowie Verwaltung von externen Zugriffen.
• Prüfung und Dokumentation privilegierter Zugänge und deren Berechtigung.
• Regelmäßige Berichterstattung zum Risikomanagement im Kontext von Drittanbietern und Dienstleistern.

Unterstützung bei IT-Beschaffung & Softwarefreigaben

• Verwaltung einer „Approved Software List“ und Begleitung der Softwarefreigabeprozesse.
• Unterstützung bei der Bewertung von IT-Risiken im Rahmen von Angebots- und Ausschreibungsverfahren sowie technischen Due Diligence-Prozessen.

Kompetenzmanagement & Awareness

• Mitwirkung bei der Planung und Durchführung von Schulungs- und Sensibilisierungsmaßnahmen zur Förderung des Sicherheitsbewusstseins innerhalb der Organisation.

Qualifikationen & Ausbildung

• Ein abgeschlossenes Studium im Bereich (Wirtschafts-) und/ oder Informatik oder eine vergleichbare Qualifikation.
• Idealerweiser Zertifizierung als ISO/IEC 27001 Lead Implementer oder ISO/IEC 27001 Lead Auditor oder vergleichbare Qualifikation.
• Inhaber einer anerkannten beruflichen Qualifikation im Bereich Risikomanagement, Compliance oder Audit und/oder abgeschlossenes Hochschulstudium, idealerweise in Risikomanagement, Betriebswirtschaft oder einem verwandten Fachgebiet.

Fachliche Kenntnisse & Fähigkeiten

• Mindestens 5 Jahre Berufserfahrung in der IT mit Schwerpunkt IT-Sicherheit.
• Fundiertes Wissen in den Bereichen Informationssicherheit, regulatorische Compliance und Data-Governance-Best Practices im Unternehmensumfeld.
• Umfassende Kenntnisse und Erfahrungen im Kontext IT-Sicherheit und dazugehöriger Normen, Standards und Gesetze (z. B. ISO 2700x, NIS2, EU-AI Act, BSI IT-Grundschutz und IT-Sicherheitsgesetz).
• Praktische Erfahrung im Risikomanagement innerhalb regulierter Branchen, mit fundierten Kenntnissen über Risikorahmenwerke, Bewertungsmethoden und Maßnahmen zur Risikominderung.
• Klares Verständnis für den Wandel von reiner „Checkbox-Compliance“ hin zu einem integrierten, risikobasierten Governance-Ansatz und dafür, was erforderlich ist, um diesen Übergang operativ umzusetzen.
• Nachweisbare Leidenschaft für Risikomanagement mit dem Fokus, Risikobewusstsein fest in den täglichen Betriebsabläufen und Entscheidungsprozessen der Organisation zu verankern.
• Belastbar, integer und detailorientiert, mit hohem Anspruch an Genauigkeit und Compliance-Exzellenz.
• Sicher im Umgang mit mehreren Aufgaben gleichzeitig in einem dynamischen und schnelllebigen Arbeitsumfeld.
• Hervorragende administrative und organisatorische Fähigkeiten, sicherer Umgang mit MS Excel, PowerPoint, Word sowie Erfahrung mit Projekt- und Governance-Tools.
• Erfahrung in der Erstellung von Berichten und Präsentationen für das obere Management.
• Technisch versiert und in der Lage, sich mit IT- und Cybersecurity-Konzepten auseinanderzusetzen – keine tiefgehende technische Expertise erforderlich, aber die Bereitschaft und Fähigkeit, Technologien und deren Risikobedeutung im Unternehmen zu verstehen.
• Ausgeprägtes Interesse an Cybersecurity, IT-Support (ITIL) und Governance-Praktiken.
• Selbstmotiviert und proaktiv, mit der Fähigkeit, sowohl eigenständig zu arbeiten als auch effektiv abteilungsübergreifend zu kommunizieren, einschließlich regelmäßiger Zusammenarbeit mit Führungskräften, Direktoren und Geschäftspartnern.
• Sicherer Umgang mit MS-Anwendungen (Word, Excel, PowerPoint) sowie Bereitschaft, sich in neue ITSM- und Projektmanagement-Tools einzuarbeiten.

Erfahrung

• Erfahrung in der Arbeit innerhalb einer Projektmanagement-Struktur, einschließlich der Arbeit nach Zielvorgaben und Ergebnissen sowie der regelmäßigen Berichterstattung über Fortschritt und Teamstatus.
• Nachgewiesene Erfahrung in der Bereitstellung hochwertiger, werteorientierter Ergebnisse in den Bereichen Risiko, Compliance oder Governance.
• Erprobte Erfahrung in IT-Risiko- und Compliance-Funktionen mit nachweislicher Fähigkeit zur effektiven Zusammenarbeit mit IT-Abteilungen und funktionsübergreifenden technischen Teams.
• Tiefgehendes Verständnis von ISO-Standards und regulatorischen Compliance-Rahmenwerken, einschließlich ISO 27001, NIS2 und DSGVO (GDPR).
• Praktische Erfahrung in der Implementierung und laufenden Betreuung eines ISO 27001-konformen Informationssicherheits-Managementsystems (ISMS).
• Fundierte Kenntnisse in Risikobewertungsmethoden, Scoring-Systemen und Prozessen zur Risikoberichterstattung.
• Erfahrung in der Definition, Verfolgung und Berichterstattung von GRC-Kennzahlen (Governance, Risk, Compliance KPIs), einschließlich Datenerhebung und -analyse zur Unterstützung von Reporting-Anforderungen.
• Solides Grundverständnis technischer IT-Konzepte und IT-Architekturen; auch wenn die Rolle administrativ ausgerichtet ist, ist ein grundlegendes Verständnis der IT-Domänen unerlässlich.
• Erfahrung in der Durchführung von IT-Risikoanalysen und Gap-Analysen, inklusive der Fähigkeit, Compliance-Lücken gegenüber Rahmenwerken wie ISO 27001 und relevanten gesetzlichen Vorgaben zu identifizieren und zu bewerten.
• Sichere Planung und Durchführung von Auditplänen und internen Audits gemäß den Anforderungen der ISO 27001/27002.
• Nachweisliche Fähigkeit, IT-Konzepte, Verfahren und administrative Prozesse klar und präzise zu dokumentieren und zu kommunizieren.

Kommunikation

• Ausgezeichnete Kommunikationsfähigkeiten mit der Fähigkeit, den Kommunikationsstil je nach Zielgruppe und Botschaft flexibel anzupassen.
• Erfahrung im Aufbau und der Pflege von Beziehungen über Distanz hinweg.
  Kommunikation mit einer Vielzahl (oft vertraulicher) Themen.
• Regelmäßiger Umgang mit herausfordernden und anspruchsvollen Situationen sowie mit einer Vielzahl interner und externer Stakeholder,Mehr
  Share