Is BS 7799 worth the effort?
Master thesis
Permanent lenke
http://hdl.handle.net/11250/143914Utgivelsesdato
2004Metadata
Vis full innførselSamlinger
Sammendrag
NORSK:
Denne masteroppgaven fokuserer på hvorvidt organisasjoner som har sertifisert sitt styringssystem for
informasjonssikkerhet etter BS 7799, oppnår en bedre evne til å forebygge, detektere og reagere på
sikkerhetsbrudd slik at konsekvensene ved sikkerhetsbrudd reduseres. Masteroppgaven vil også
utforske om det er en forskjell på organisasjoner som benytter BS 7799 på en uformell måte kontra
organisasjoner som ikke benytter standarden.
I disse dager er det en utfordring for informasjonssamfunnet at informasjonssikkerhet et styrt og
håndtert på mange forskjellige måter. I dag, og i fremtiden, kan det være vitalt å kunne håndtere
informasjonssikkerheten iht. et felles sett med prinsipper, uavhengig av organisasjon.
Vi har gjennomført en undersøkelse i form av en spørreundersøkelse. Spørreundersøkelsen ble
distribuert til sikkerhetssjefer eller stabspersonell innen informasjonssikkerhet i 40 norsk virksomheter
hvor vi forventet at et styringssystem for informasjonssikkerhet var implementert. Åtte av
virksomhetene var sertifisert etter BS 7799-2. Vi hadde også klare forventninger til at
informasjonssikkerhet var et viktig tema i de andre virksomhetene.
I spørreundersøkelsen spurte vi organisasjonene om følgende:
-konsekvensene som har rammet organisasjonen fra 1999 til 2004, estimert som økonomiske
tap
- hvordan brudd på informasjonssikkerhet er håndtert i organisasjonen og mulighetene for oss
til å få tilgang til de statistiske data angående brudd på sikkerheten
- hvilke deler av styringssystemer som er implementert og hvordan det er implementert
Angående spørsmålet om styringssystem for informasjonssikkerhet spurte vi om de vitale delene som
burde vært implementert i alle virksomheter med et visst behov for å beskytte organisasjonens verdier.
Svarene angående konsekvenser og statistiske data angående brudd på sikkerheten var for få til å
sammenligne sertifiserte organisasjoner, organisasjoner som benytter standarden uformelt og de
organisasjoner som ikke benytter en standard.
Resten av spørreskjemaet fokuserte på de vitale delene av et styringssystem for
informasjonssikkerhet. Svarene på disse spørsmålene gjorde det mulig å estimere modenhetsnivået på
organisasjonens styringssystem for informasjonssikkerhet. Modenhetsnivået på styringssystemet for
informasjonssikkerhet kan ansees som et speilbilde av nivået på informasjonssikkerheten i
organisasjonene.
Konklusjonene i denne masteroppgaven er at sertifiserte organisasjoner har et høyere modenhetsnivå
enn organisasjoner som har valgt å benytte standarden til å implementere et uformelt styringssystem
for informasjonssikkerhet. De organisasjoner som har implementert et uformelt styringssystem har et
høyere modenhetsnivå enn de organisasjonene som ikke har implementert noen form for
styringssystem. ENGELSK:
This thesis will focus on whether organisations which have certified their ISMS according to BS 7799
achieve a better capability for preventing, detecting, and reacting to security breaches, so that the
consequences of security breaches may be reduced. The thesis will also explore if there is any
difference between organisations which use the BS 7799 informally versus organisations which do not
use the standard at all.
In these days, it is a challenge for the information community that IS is managed in many different
ways. Today, and in the future, it may be vital that IS is handled according to a set of common
principles independent of the organisation.
We conducted a survey in the form of a questionnaire. The questionnaire was distributed to IS
manager or IS staff in 40 Norwegian organisations which we expected to have implemented a type of
ISMS. Eight of the organisations were certified according to BS 7799-2 and we had a clear
expectation that a focus on IS was an important issue in the remaining organisations.
In the questionnaire we asked the organisations for the following:
- the consequences of security breaches which have hit the organisations from 1999 to 2004,
estimated as financial loss
- how security breaches are handled in the organisation and the possibilities for us to get access
to statistical data regarding security breaches
- which parts of the ISMS are implemented and how they are implemented
In regard to the questions about ISMS, we asked about the vital parts which should have been
implemented in all organisations which have a certain need for protecting their assets.
The replies regarding the consequences of and the statistical data on security breaches were too few to
compare certified organisations, organisations using the standard informal and organisations not using
a standard at all.
The rest of the questionnaire focused on the vital parts of the ISMS. The replies to these questions
made it possible to estimate the maturity level of the ISMS within the organisations. The ISMS
maturity level may be regarded as a reflection of the IS status of the organisations.
The conclusions in this thesis are that organisations certified according to BS 7799-2 have a higher
maturity level versus organisations which have chosen to implement an ISMS informally. Those
organisations which have implemented an informal ISMS have higher maturity than those
organisations which have not implemented an ISMS at all.