Vis enkel innførsel

dc.contributor.authorHartveit, Sjur
dc.date.accessioned2012-03-16T12:09:49Z
dc.date.available2012-03-16T12:09:49Z
dc.date.issued2011
dc.identifier.urihttp://hdl.handle.net/11250/144016
dc.description.abstractENGELSK: Measurement of information security seeks to improve the efficiency of the information security in an organization. Measurements can give advantages like: Enabling organizations to judge if the state of information security moves in the right direction over time Enabling benchmarking to see if they are performing better or worse than comparable actors Provide a basis for sound business decisions regarding information security Demonstrating compliance However, when implementing security controls, it is important to know what can be expected in return on the investments. To justify adding another control like security measurements, the value gained should be larger than the costs of implementation. Information security in Norwegian Health sector is regulated by a legal framework, but measurements are not compulsory. This thesis analyzes selected measurements through a case study in a Norwegian healthcare organization - the Norsk Pasient Register, NPR. The implementation in the case study is based on the recently published ISO/IEC 27004:2009 framework for information security measurement. A pilot on information security measurements was made in the case study and experiences gathered. A survey is also presented regarding the perceptions of information security measurements and practices among Norwegian health trusts (HF’s). Although guidelines for IS measurements have existed in Norwegian healthcare since 2004[1], the assumption is that there is little ongoing activity in this area. The contributions of the master thesis is: more insight on validity and costeffectiveness of selected information security measurements. more knowledge on the perceptions and practices of information security measurements in Norwegian health trusts(’Helseforetak’ - HF’s) and institutions. proposals for further research in this area The study shows that measurements of information security is beneficial for an health organization. When it comes to perceptions and practices, more than 50 % states that they measure information security, but with limited knowledge on standards and guidelines. Measurements are seldom requested by management and some organizations lack formally stated goals for information security.no_NO
dc.description.abstractNORSK: Måling av informasjonssikkerhet søker å forbedre effekten av informasjonssikkerheten i en organisasjon. Slike målinger kan gi fordeler som: Mulighet for å bedømme om informasjonssikkerheten beveger seg i rett retning i en organisasjon. Muliggjør sammenlikning av status(benchmarking) for sammenliknbare aktører. Kan synliggjøre etterlevelse av relevante internt og eksternt regelverk (compliance). Utgjør et grunnlag for å treffe de rette beslutninger i organisasjonen. Når det implementeres ytterligere sikkerhetskontroller, er det imidlertid viktig å vite hva som kan oppnås med denne investeringen. For å rettferdiggjøre innføringen av ytterligere kontroller, bør disse gi en større verdi enn kostnadene forbundet med å implementere de. Denne masteroppgaven analyserer utvalgte målinger i en norsk helseorganisasjon i form av et case-studie hos Norsk pasientregister (NPR). Implementasjonen av målinger i studiet baserer seg på en nylig publisert standard for måling av informasjonssikkerhet - ISO/IEC 27004:2009. En pilot på måling av informasjonssikkerhet er gjennomført i dette studiet og erfaringer innsamlet. Det er også gjennomført en spørreundersøkelse om hva slags oppfatninger/ gjeldene praksis som finnes rundt måling av informasjonssikkerhet i norske helseforetak (HF’er). Selv om det har eksistert anbefalinger for slike målinger i norsk helsevesen siden 2004 [1], så er antagelsen at det er lite aktivitet som pågår på dette området. Bidragene fra denne masteroppgaven er: Mer innsikt vedrørende gyldighet og kosteffektivitet på utvalgte målinger. Mer kunnskap om hvordan de ulike helseforetak/institusjoner oppfatter og praktiserer måling av informasjonssikkerhet. Forslag til videre forskning på dette området. Studien viser at målinger av informasjonssikkerhet har nytte i en helseorganisasjon. Når det gjelder oppfatninger og praksis i helseforetak/institusjoner, så oppgir over halvparten at de måler informasjonssikkerhet, men har mindre kjennskap til målestandarder. Målinger er i liten grad etterspurt av ledelsen og noen organisasjoner har fortsatt ikke fastsatt formelle mål for informasjonssikkerhetsarbeidet.no_NO
dc.language.isoengno_NO
dc.subjectinformation securityno_NO
dc.subjectorganizationno_NO
dc.subjectsecurity controlno_NO
dc.subjectNorsk Pasient Registerno_NO
dc.titleMeasurement of Information Security - a cost benefit analysis of measurements at Norsk Pasientregister (NPR)no_NO
dc.typeMaster thesisno_NO
dc.subject.nsiVDP::Mathematics and natural science: 400::Information and communication science: 420::Security and vulnerability: 424no_NO
dc.source.pagenumber87no_NO


Tilhørende fil(er)

Thumbnail

Denne innførselen finnes i følgende samling(er)

Vis enkel innførsel