Informasjonssikkerhetsarbeid gjennom ledelsessystemer for informasjonssikkerhet: En casestudie for E.A. Smith

Abstract

Informasjonssikkerhetsarbeid og prosesser rundt dette opplever stadig mer fokus i de fleste organisasjoner. Med økt digitalisering og informasjonsflyt øker også nødvendigheten for sikkerhet rundt denne informasjonen. Spesielt hos bedrifter er nødvendigheten for informasjonssikkerhet stor. Dette skyldes økt angrepsfrekvens og risiko i nyere tid, som gjør det enda viktigere å beskytte sensitive opplysninger både med hensyn til kunder og intern drift. Denne oppgaven ser på risikoen tilknyttet mangelen på informasjonssikkerhet og hvor utsatt bedrifter kan være. Vi har undersøkt informasjonssikkerhetsarbeidet til E.A. Smith gjennom semi-strukturerte intervjuer. Basert på resultater herfra har vi gjennomgått en evaluering på i hvilken grad deres systemer måler seg mot standardiserte informasjonssikkerhetskrav. Samtidig ønsker vi å hjelpe dem med en hensiktsmessig innføring av et formelt styringssystem for informasjonssikkerhet. For å gjøre dette, tar vi hovedsakelig utgangspunkt i det internasjonale rammeverket for informasjonssikkerhet, ISO 27000-serien.

Information security, with its associated risks and processes, is currently experiencing an increased focus in most organizations. With increased digitalisation and flow of information, the need for additional security measures consequently increases. This especially applies to companies, due to the higher attack frequencies and risks in modern times, which makes it even more important to protect sensitive data both in respect of customers and internal management. This dissertation focuses on risk associated with the lack of proper information security and how vulnerable companies can be. We have researched E.A. Smith’s work with information security through semi-structured interviews. Based on these results we have done an evaluation as to what degree their systems compare to standardised information security requirements. Simultaneously, we want to assist them in doing an appropriate implementation of a formal information security management system. To achieve this, we primarily focus on the international framework for information security, the ISO 27000-series.