Curriculum Vitae

Michael Schmid
Stellv. Chief Information Security Officer
Rebhalde 10, 77723 Gengenbach

Mitarbeit in Gremien und Fachgruppen

  • Branchenarbeitskreis (BAK) Medien des UP KRITIS
  • ISACA Fachgruppe „Informationssicherheit“ und „IT-Risikomanagement“
  • GI Fachgruppe „Management von Informationssicherheit“ (SECMGT)
Beruflicher Werdegang
AUDEG - Deutsche Auditoren eG
2017 - bis jetzt
Gründer und Mitglied des Boards
Hubert Burda Media Holding KG
2020 - bis jetzt
Deputy CISO
Hubert Burda Media Holding KG
2012 - 2020
Senior Information-Security Expert

Planung und Durchführung eines ISMS auf Basis der ISO 27001

Hochschule Offenburg
2013 - 2015
Lehrbeauftragter im Studiengang „Unternehmens- und IT-Sicherheit“

Modul „Business Continuity & Disaster Recovery“

Zentralinstitut für die kassenärztliche Versorgung
2010 - 2012
Information Security Officer

Erstellung und Umsetzung von Informations-Sicherheitskonzepten und Datenschutzkonzepten

Akademische Ausbildung
Johann Wolfgang Goethe-Universität Frankfurt am Main
2017 - bis jetzt
Doktorand am Lehrstuhl für Mobile Business & Multilateral Security
FOM - Hochschule für Oekonomie & Management in Berlin
2011 - 2013
Master of Business Administration (MBA)

Master Thesis „Process model for a project risk management in the Hubert Burda Media Holding“

Hochschule RheinMain Wiesbaden
2001 - 2008
Diplom der Allgemeinen Informatik

Diplomarbeit „IT-Analyse, IT-Strategie und deren exemplarische Umsetzung in der IMPAQ AG“

Veröffentlichungen/Vorträge
Aggregating Corporate Information Security Maturity Levels of Different Assets
2020
Springer International Publishing

General Data Protection Regulation (GDPR) has not only a great influence on data protection but also on the area of information security especially with regard to Article 32. This article emphasizes the importance of having a process to regularly test, assess and evaluate the security. The measuring of information security however, involves overcoming many obstacles. The quality of information security can only be measured indirectly using metrics and Key Performance Indicators (KPIs), as no gold standard exist. Many studies are concerned with using metrics to get as close as possible to the status of information security but only a few focus on the comparison of information security metrics. This paper deals with aggregation types of corporate information security maturity levels from different assets in order to find out how the different aggregation functions effect the results and which conclusions can be drawn from them. The required model has already been developed by the authors and tested for applicability by means of case studies. In order to investigate the significance of the ranking from the comparison of the aggregation in more detail, this paper will try to work out in which way a maturity control should be aggregated in order to serve the company best in improving its security. This result will be helpful for all companies aiming to regularly assess and improve their security as requested by the GDPR. To verify the significance of the results with different sets, real information security data from a large international media and technology company has been used.

A Structured Comparison of the Corporate Information Security Maturity Level
2019
Springer International Publishing

General Data Protection Regulation (GDPR) has not only a great influence on data protection but also on the area of information security especially with regard to Article 32. This article emphasizes the importance of having a process to regularly test, assess and evaluate the security. The measuring of information security however, involves overcoming many obstacles. The quality of information security can only be measured indirectly using metrics and Key Performance Indicators (KPIs), as no gold standard exist. Many studies are concerned with using metrics to get as close as possible to the status of information security but only a few focus on the comparison of information security metrics. This paper deals with aggregation types of corporate information security maturity levels from different assets in order to find out how the different aggregation functions effect the results and which conclusions can be drawn from them. The required model has already been developed by the authors and tested for applicability by means of case studies. In order to investigate the significance of the ranking from the comparison of the aggregation in more detail, this paper will try to work out in which way a maturity control should be aggregated in order to serve the company best in improving its security. This result will be helpful for all companies aiming to regularly assess and improve their security as requested by the GDPR. To verify the significance of the results with different sets, real information security data from a large international media and technology company has been used.

Vortrag "Ein Praxisleitfaden für die Implementierung eines ISMS nach ISO/IEC 27001:2013"
2017
ISACA Germany Chapter IT-GRC-Kongress 2017

Die Fachgruppe „Informationssicherheit“ des ISACA Germany Chapters e.V. hat einen Leitfaden für die Implementierung eines ISMS herausgebracht. Der Implementierungsleitfaden richtet sich an Organisationen, die ein ISMS nach der internationalen ISO/IEC-Norm 27001:2013 betreiben oder aufbauen wollen. Neben zielorientierten Hilfestellungen und Herangehensweisen werden die Vorteile eines individuell angepassten und normkonformen ISMS aufgezeigt.

Vortrag “Verzahnung von Information und Enterprise Risk Management – ISO 31000 in der IT”
2016
DIIR/ISACA IT-Tagung 2016, DIIR Frankfurt

Zusammenarbeit von RMA und ISACA im Arbeitskreis „Information Risk Management“ | Gemeinsamer ISACA-/RMA-Leitfaden zur ISO 31000 in der IT

Veröffentlichung: Implementierungsleitfaden ISO/IEC 27001:2013
2016
ISACA Germany Chapter e.V.

Der Implementierungsleitfaden ISO/IEC 27001:2013 enthält praxisnahe Empfehlungen und Hinweise für Organisationen, die entweder bereits ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen ISO/ IEC-Norm 27001:2013, Information technology — Security techniques — Information security management systems — Requirements, betreiben oder ein solches aufbauen wollen, unabhängig von vorhandenen oder etwaig angestrebten Zertifizierungen. Der Leitfaden bietet allen, die mit dem Aufbau und/oder Betrieb eines ISMS betraut sind, pragmatische Hilfestellungen und Herangehensweisen. Die Vorteile eines individuell angepassten und, sofern notwendig, gleichzeitig normkonformen ISMS werden klar herausgestellt. Insbesondere werden Praxisempfehlungen zur Etablierung bzw. Erhöhung des Reifegrads bestehender ISMS-Prozesse und typische Umsetzungsbeispiele verschiedener Anforderungen aufgezeigt.

Zertifikatskurs "IT Information Security Practitioner (ITISP)"
2016
ISACA Germany Chapter e.V.

„COBIT 5 for Information Security":

  • Umgang mit dem Leitfaden COBIT 5 for Information Security
  • Aufbau eines Informationssicherheitsmanagementsystems
  • Integration von Informationssicherheit in ein Unternehmen
  • Gute Praktiken für Organisation, Prozesse und Services im Zusammenhang mit Informationssicherheit
Veröffentlichung: Heartbleed - IT-Risikomanagement mit COBIT in der Praxis
2015
ISACA Germany Chapter e.V. (erschienen in IT-Governance, Heft 20, Mai 2015)

IT-Risikomanagement hat den Anspruch, Gefahrensituationen oder Schadensereignisse zu verhindern bzw. zu reduzieren. Dabei werden mindestens die Phasen der Identifizierung und Bewertung von Risiken, deren Behandlung sowie die Verfolgung der Umsetzung der Maßnahmen adressiert. Trotz der ständigen Sensibilisierung der Unternehmen auf diesem Gebiet und der Weiterentwicklung von Schutzmaßnahmen ist der gänzliche Ausschluss von Schadensereignissen nicht zu gewährleisten. Der folgende Artikel zeigt, wie ein nicht vermeidbares Schadensereignis in der Praxis erfolgreich gemanagt wurde. Aus dem Fallbeispiel werden Aktivitäten bzw. kritische Erfolgsfaktoren herausgestellt, die letztlich wesentlich für den positiven Ausgang verantwortlich waren. Diese Erfolgsfaktoren wurden dann auf entsprechende COBIT-Prozesse (COBIT 4.1 und COBIT 5) gemappt und es wird gezeigt, dass COBIT auch bei nicht vermeidbaren Schadensereignissen einen erheblichen Mehrwert für Unternehmen im Rahmen ihres Risikomanagementprozesses liefern kann.

Veröffentlichung: Leitfaden zur Anwendung der ISO 31000 in der IT
2014
ISACA Germany Chapter e.V.

Der Implementierungsleitfaden ISO/IEC 27001:2013 enthält praxisnahe Empfehlungen und Hinweise für Organisationen, die entweder bereits ein Informationssicherheits-Managementsystem (ISMS) nach der internationalen ISO/ IEC-Norm 27001:2013, Information technology — Security techniques — Information security management systems — Requirements, betreiben oder ein solches aufbauen wollen, unabhängig von vorhandenen oder etwaig angestrebten Zertifizierungen. Der Leitfaden bietet allen, die mit dem Aufbau und/oder Betrieb eines ISMS betraut sind, pragmatische Hilfestellungen und Herangehensweisen. Die Vorteile eines individuell angepassten und, sofern notwendig, gleichzeitig normkonformen ISMS werden klar herausgestellt. Insbesondere werden Praxisempfehlungen zur Etablierung bzw. Erhöhung des Reifegrads bestehender ISMS-Prozesse und typische Umsetzungsbeispiele verschiedener Anforderungen aufgezeigt.

Orientierung an etablierten Best Practices, Frameworks und Standards
  • Control Objectives for Information and Related Technology (CobIT)
  • IT Infrastructure Library Framework (ITIL)
  • Grundschutzhandbuch des Bundesamts für Sicherheit in der Informationstechnologie (BSI)
  • ISO/IEC 22031 Business Continuity Management
  • ISO/IEC 27001 Information Security Management
  • ISO/IEC 27002 Best Practices für Information Security Management
  • ISO/IEC 27005 Information Security Risk Management
  • ISO/IEC 31000 Risk Management
  • ISO/IEC 31004 Risk Management Implementierung
  • ISO/ICE 31010 Risk Management Assessement
  • PMBOK Projekt Management Body of Knowledge
  • Open Web Application Security Project (OWASP)
Zusätzliche Qualifikationen
IT Risk Manager
@DGI AG, Berlin
ITIL Foundation Zertifikat
@mITSM, München
Business Continuity Manager
@DGI AG, Berlin
Certified Information Security Manager (CISM)
@ISACA, Frankfurt
TÜViT ISMS Auditor (ISO27001 und ISO27002)
@TÜViT Nord, Essen
IT - Information Security Practitioner (ITISP)
@ISACA Germany Chapter, Düsseldorf
Zusätzlichen Prüfverfahrens-Kompetenz für § 8a BSIG
@AUDEG, Frankfurt

Zusätzliche Qualifikationen
IT Risk Manager
@DGI AG, Berlin
ITIL Foundation Zertifikat
@mITSM, München
Business Continuity Manager
@DGI AG, Berlin
Certified Information Security Manager (CISM)
@ISACA, Frankfurt
TÜViT ISMS Auditor (ISO27001 und ISO27002)
@TÜViT Nord, Essen
IT - Information Security Practitioner (ITISP)
@ISACA Germany Chapter, Düsseldorf
Zusätzlichen Prüfverfahrens-Kompetenz für § 8a BSIG
@AUDEG, Frankfurt

Tweets
    2019 Sigmapert.com - Michael Schmid