Informationssicherheitsbeauftragter für Bundeswehr-Dienstleister

Die BwFuhrparkService GmbH (BwFPS), Mobilitätsdienstleister der Bundeswehr und des Deutschen Bundestages, beabsichtigt, die Aufgaben des Informationssicherheitsbeauftragten (ISB) extern zu vergeben. Der ISB wird die Unternehmens- und Bereichsleitung unternehmensweit in allen Belangen der Informationssicherheit beraten und unterstützen und berichtet direkt an die Geschäftsführung. Die Tätigkeit erfordert eine enge Zusammenarbeit mit dem externen Datenschutzbeauftragten und dem IT-Security-Team zur Gewährleistung einer einheitlichen Sicherheitsstrategie. Die Leistungserbringung erfolgt in deutscher Sprache. Zu den Kernaufgaben gehören die Entwicklung und der Betrieb eines Informationssicherheitsmanagementsystems (ISMS) in Abstimmung mit der Bundeswehr und dem BSI, um die Konformität mit Standards wie ISO/IEC 27001 und BSI IT-Grundschutz sicherzustellen. Dies beinhaltet die regelmäßige Auditierung der Funktionseinheit, die Ableitung von Handlungsempfehlungen sowie die Verwaltung von informationstechnischen Risiken im Unternehmenskontext durch Identifikation, Bewertung und Mitigation. Des Weiteren umfasst die Tätigkeit die Durchführung technischer Sicherheitsmaßnahmen, die Begleitung von Schwachstellenscans und Penetrationstests in Zusammenarbeit mit dem IT-Security-Team zur kontinuierlichen Optimierung der Informationssicherheit. Awareness-Maßnahmen wie Schulungen und Coachings für Mitarbeiter zur Förderung des Sicherheitsbewusstseins sind ebenfalls Teil des Leistungsumfangs. Der ISB ist für die Entwicklung, Pflege und kontinuierliche Aktualisierung von Dokumenten wie Sicherheitsrichtlinien, Handlungsanweisungen und strategischen Zielen im Bereich Informationssicherheit verantwortlich. Er wirkt zudem bei der Entwicklung und Weiterentwicklung des Business Continuity Managements (BCM) mit, einschließlich der Entwicklung von Notfallplänen und Prozessen zur Sicherstellung der Geschäftskontinuität. Die Analyse und Optimierung der Informationssicherheit sowie die Abstimmung mit Datenschutzverantwortlichen sind weitere wichtige Aufgaben. Der ISB berät die Geschäftsführung und Fachabteilungen bei der Bewertung und Umsetzung sicherheitsrelevanter Maßnahmen und erstellt jährlich 2-3 Reports für die Geschäftsführung mit detaillierten Analysen und Empfehlungen zum Stand der Informationssicherheit. Die Vorbereitung und Durchführung von internen und externen Audits sowie die Schließung von identifizierten Gaps durch geeignete Maßnahmen gehören ebenfalls zum Aufgabenspektrum. Der ISB muss flexibel auf sich ändernde Anforderungen reagieren und situationsbezogen weitere Aufgaben im Bereich der Informationssicherheit übernehmen. Das geschätzte Arbeitsvolumen beträgt ca. 416 Arbeitsstunden pro Kalenderjahr, was etwa 8 Stunden pro Woche entspricht. Die Leistungserbringung erfolgt zu etwa 60% remote und zu 40% vor Ort in der Zentrale in Siegburg. Reisekosten für Dienstreisen zu weiteren Standorten wie Bonn oder Berlin werden nach bestimmten Richtlinien erstattet, wobei der Auftragnehmer für eine kostenoptimale Reiseplanung verantwortlich ist. Die Abrufe erfolgen quartalsweise auf Basis eines Monatskontingents, das im Rahmen einer Quartalsplanung abgestimmt wird. Die Beauftragung erfolgt über das SAP-Beschaffungssystem. Der einzusetzende ISB muss über sehr gute Kenntnisse der Informationssicherheit, vertiefte Kenntnisse in ITIL, SIEM, SOC und Cloud-Technologien verfügen sowie die Fähigkeit besitzen, sich schnell in neue Themen einzuarbeiten und Risiken zu erkennen und zu kommunizieren. Mindestens eine Zertifizierung als ISO/IEC 27001 Implementer/Auditor oder BSI IT-Grundschutz-Auditor ist erforderlich. Zusätzliche Qualifikationen wie ISO/IEC 27001 Lead Implementer/Lead Auditor oder BSI IT-Grundschutz-Experte, Berufserfahrung in relevanten Bereichen, Erfahrung im behördlichen Informationssicherheitsmanagement im Verteidigungsumfeld, Praxiserfahrung in hybriden IT-Ökosystemen und Erfahrung als CISO fließen positiv in die Bewertung ein. Die Preisgestaltung erfolgt über Festpreise für Stundensätze (remote und vor Ort). Der Auftragnehmer muss Nachhaltigkeits- und Ethikstandards einhalten, einschließlich der Beachtung von Arbeitsrechten, Vielfalt, Inklusion, Gesundheit und Sicherheit am Arbeitsplatz sowie der Bekämpfung von Korruption. Besondere Auflagen des Bundesministeriums für Verteidigung, einschließlich der Anwendung des Bundesleistungsgesetzes, sind zu beachten.