Optimizing Security Framework Selection: Criteria, Strategies, and Methods

Abstract

Denne masteroppgaven tar for seg utfordringen med å velge passende informasjonssikkerhetsrammeverk for norske bedrifter og konsulenter. I et stadig skiftende cybersikkerhetslandskap står organisasjoner overfor økende kompleksitet når de skal velge sikkerhetsrammeverk for å beskytte eiendeler og oppfylle regulatoriske krav. For å møte denne utfordringen er det utviklet en systematisk metode for å veilede valgprosessen. Metoden identifiserer nøkkelfaktorer, som organisasjonens modenhet, regulatoriske krav og risikoprofil, og anvender et vektet poengsystem for å evaluere rammeverk som ISO 27001, NIST CSF, COBIT 5, PCI DSS og andre.

Metoden ble iterativt forbedret gjennom ekspertintervjuer og praktiske brukseksempler for å sikre anvendbarhet og effektivitet. Resultatet er en fleksibel og tilpasningsdyktig tilnærming som hjelper organisasjoner med å ta informerte beslutninger tilpasset deres unike behov. Denne forskningen bidrar med en strukturert metode for å forbedre sikkerhetsnivået, styrke etterlevelse av regelverk og effektivisere prosessen med å velge sikkerhetsrammeverk.

This thesis addresses the challenge of selecting appropriate information security frameworks for Norwegian businesses and consultants. In an ever-evolving cybersecurity landscape, organizations face increasing complexity when choosing security frameworks to protect assets and comply with regulations. To tackle this, a systematic method was developed to guide the selection process. The method identifies key factors—such as organizational maturity, regulatory requirements, and risk profile—and applies a weighted scoring system to evaluate frameworks like ISO 27001, NIST CSF, COBIT 5, PCI DSS, and others.

The method was iteratively refined through expert interviews and practical use cases to ensure applicability and effectiveness. The result is a flexible, adaptable approach that helps organizations make informed decisions tailored to their unique needs. This research contributes a structured way to enhance security posture, improve compliance, and streamline the framework selection process.