Modell for innføring av et ledelsessystem for informasjonssikkerhet

Abstract

Formålet til denne forskningsrapporten er å analysere hvorvidt vår nåværende modell for innføring av et ISMS har blitt foreldet som følge av store fremskritt og endringer innen feltet, hvordan den nye personvernsforordningen (GDPR) har påvirket denne prosessen og hvordan ISO-standardene, spesifikt ISO-27001 og ISO-27002, hjelper bedrifter med arbeidet om å holde seg i tråd med de lover og reguleringer som kreves. For å besvare dette spørsmålet har vi intervjuet to forskjellige virksomheter angående deres arbeid med ISMS, og fått deres syn på hvordan de stiller seg i forhold til den modellen vi presenterte for dem. Vi benytter oss også av teori fra forskjellige aktører i Norge som arbeider innen informasjonssikkerhet, samt teori rundt ISO-standardene og GDPR. Resultatene våre viste at vår modell var gjenkjennbar hos virksomhetene, men at de ikke hadde arbeidet konkret opp mot en slik modell, men at den gjenspeilet hvordan de arbeidet med dette emnet. Det vi også fant ut fra virksomhetene var at implementeringen av GDPR ledet dem til et større fokus rundt denne forordningen for å kunne være presentable fremfor klientene sine. Alle resultatene i denne rapporten leder oss til å kunne konkludere med at ISO-standarden 27001 fortsatt er grunnlaget for beste praksis når det er snakk om implementering av et ISMS. Fra det perspektivet, uttrykker dette studiet den sentrale stillingen ISO-standardene har når man jobber opp imot implementering og kontinuerlig forbedring av et ISMS, og for overholdelse av de lover og forordninger man er nødt til å følge.

The purpose of this paper is to analyze whether our current model for implementation of an ISMS has been deprecated following the tremendous advancements within the field, how the new data protection regulation (GDPR) has affected this process and how the ISO-standards, specifically ISO-27001 and ISO-27002, helps businesses achieve compliance with the laws and regulations they are required to follow. To answer this question, we interviewed two separate businesses about their work with ISMS as well as their take on the model that we presented for them. We also incorporate theoretic material from different organizations that work within the security field in Norway, as well as the ISO-standards and the GDPR. Our results showed that the model that was presented to them was familiar in terms of how they work with ISMS, but that it was from a subconscious side and that they did not have a specific model that they had worked against. They also admitted to how the implementation of the GDPR had led to an increased focus on compliance in order to act presentable towards their clients. However, all our results lead us to conclude that the ISO-standard 27001 is the root of best practice in terms of the implementation of an ISMS. From that perspective, this study emphasizes on the importance of the ISO-standards when working towards implementing and continually improving an ISMS, and for the compliance of mandatory laws and regulations.