Vis enkel innførsel

dc.contributor.authorStamland, Frank Arne
dc.date.accessioned2008-04-02T10:22:04Z
dc.date.issued2004
dc.identifier.urihttp://hdl.handle.net/11250/143914
dc.description.abstractNORSK: Denne masteroppgaven fokuserer på hvorvidt organisasjoner som har sertifisert sitt styringssystem for informasjonssikkerhet etter BS 7799, oppnår en bedre evne til å forebygge, detektere og reagere på sikkerhetsbrudd slik at konsekvensene ved sikkerhetsbrudd reduseres. Masteroppgaven vil også utforske om det er en forskjell på organisasjoner som benytter BS 7799 på en uformell måte kontra organisasjoner som ikke benytter standarden. I disse dager er det en utfordring for informasjonssamfunnet at informasjonssikkerhet et styrt og håndtert på mange forskjellige måter. I dag, og i fremtiden, kan det være vitalt å kunne håndtere informasjonssikkerheten iht. et felles sett med prinsipper, uavhengig av organisasjon. Vi har gjennomført en undersøkelse i form av en spørreundersøkelse. Spørreundersøkelsen ble distribuert til sikkerhetssjefer eller stabspersonell innen informasjonssikkerhet i 40 norsk virksomheter hvor vi forventet at et styringssystem for informasjonssikkerhet var implementert. Åtte av virksomhetene var sertifisert etter BS 7799-2. Vi hadde også klare forventninger til at informasjonssikkerhet var et viktig tema i de andre virksomhetene. I spørreundersøkelsen spurte vi organisasjonene om følgende: -konsekvensene som har rammet organisasjonen fra 1999 til 2004, estimert som økonomiske tap - hvordan brudd på informasjonssikkerhet er håndtert i organisasjonen og mulighetene for oss til å få tilgang til de statistiske data angående brudd på sikkerheten - hvilke deler av styringssystemer som er implementert og hvordan det er implementert Angående spørsmålet om styringssystem for informasjonssikkerhet spurte vi om de vitale delene som burde vært implementert i alle virksomheter med et visst behov for å beskytte organisasjonens verdier. Svarene angående konsekvenser og statistiske data angående brudd på sikkerheten var for få til å sammenligne sertifiserte organisasjoner, organisasjoner som benytter standarden uformelt og de organisasjoner som ikke benytter en standard. Resten av spørreskjemaet fokuserte på de vitale delene av et styringssystem for informasjonssikkerhet. Svarene på disse spørsmålene gjorde det mulig å estimere modenhetsnivået på organisasjonens styringssystem for informasjonssikkerhet. Modenhetsnivået på styringssystemet for informasjonssikkerhet kan ansees som et speilbilde av nivået på informasjonssikkerheten i organisasjonene. Konklusjonene i denne masteroppgaven er at sertifiserte organisasjoner har et høyere modenhetsnivå enn organisasjoner som har valgt å benytte standarden til å implementere et uformelt styringssystem for informasjonssikkerhet. De organisasjoner som har implementert et uformelt styringssystem har et høyere modenhetsnivå enn de organisasjonene som ikke har implementert noen form for styringssystem.no
dc.description.abstractENGELSK: This thesis will focus on whether organisations which have certified their ISMS according to BS 7799 achieve a better capability for preventing, detecting, and reacting to security breaches, so that the consequences of security breaches may be reduced. The thesis will also explore if there is any difference between organisations which use the BS 7799 informally versus organisations which do not use the standard at all. In these days, it is a challenge for the information community that IS is managed in many different ways. Today, and in the future, it may be vital that IS is handled according to a set of common principles independent of the organisation. We conducted a survey in the form of a questionnaire. The questionnaire was distributed to IS manager or IS staff in 40 Norwegian organisations which we expected to have implemented a type of ISMS. Eight of the organisations were certified according to BS 7799-2 and we had a clear expectation that a focus on IS was an important issue in the remaining organisations. In the questionnaire we asked the organisations for the following: - the consequences of security breaches which have hit the organisations from 1999 to 2004, estimated as financial loss - how security breaches are handled in the organisation and the possibilities for us to get access to statistical data regarding security breaches - which parts of the ISMS are implemented and how they are implemented In regard to the questions about ISMS, we asked about the vital parts which should have been implemented in all organisations which have a certain need for protecting their assets. The replies regarding the consequences of and the statistical data on security breaches were too few to compare certified organisations, organisations using the standard informal and organisations not using a standard at all. The rest of the questionnaire focused on the vital parts of the ISMS. The replies to these questions made it possible to estimate the maturity level of the ISMS within the organisations. The ISMS maturity level may be regarded as a reflection of the IS status of the organisations. The conclusions in this thesis are that organisations certified according to BS 7799-2 have a higher maturity level versus organisations which have chosen to implement an ISMS informally. Those organisations which have implemented an informal ISMS have higher maturity than those organisations which have not implemented an ISMS at all.en
dc.format.extent2638360 bytes
dc.format.mimetypeapplication/pdf
dc.language.isoengen
dc.subjectinformasjonssikkerheten
dc.subjectBS 7799en
dc.subjectsikkerhetsbrudden
dc.titleIs BS 7799 worth the effort?en
dc.typeMaster thesisen
dc.subject.nsiVDP::Mathematics and natural science: 400::Information and communication science: 420::Security and vulnerability: 424en


Tilhørende fil(er)

Thumbnail

Denne innførselen finnes i følgende samling(er)

Vis enkel innførsel