Jag accepterar att kakor lagras på min dator

Läs mer

A Framework for Inter-Organizational Comparisons of Information Security Capabilities

A Framework for Inter-Organizational Comparisons of Information Security Capabilities Beställ tryckt exemplar Lägg i kundvagnen Ladda ned som PDF
Författare: Helena Granlund, Kristoffer Lundholm, Jonas Hallberg, Margaretha Eriksson
Ort: Linköping
Sidor: 26
Utgivningsår: 2011
Publiceringsdatum: 2011-06-20
Rapportnummer: (FOI-R--3186--SE)
Nyckelord Informationssäkerhet, Metrik, Ledningssystem för infomationssäkerhet (LIS), ISO/IEC 27001, ISO/IEC 27004
Keywords Information security, Metric, Information security management systems (ISMS), ISO/IEC 27001, ISO/IEC 27004
Sammanfattning Förmåga att bedöma organisationers informationssäkerhet är grundläggande för kvalitén hos relaterade riskhanteringsbeslut. Svenska myndigheter ska hantera informationssäkerhet i enlighet med etablerade standarder för ledningssystem för informationssäkerhet (LIS), såsom standarderna ISO/IEC 27001 och ISO/IEC 27004. Ramverket som presenteras i denna rapport stödjer detta arbete genom att tillhandahålla ett tillvägagångssätt för att värdera mognadsgraden hos det metrikprogram vilket ska vara en del av varje LIS. Nyttjande av ramverket ger indikationer på mognadsgraden hos metrikprogrammet liksom hur långt införandet av ett LIS har kommit. Dessa resultat kan nyttjas för jämförande av organisationer samt utgöra en grund för diskussioner och utbyte av erfarenheter relaterade till LIS och metrikprogram för informationssäkerhet. Vi anser att ett nyttjande av ramverket bland svenska myndigheter kommer att förbättra förutsättningarna för: ? lärande avseende informationssäkerhet, såväl inom enskilda myndigheter som myndighetsöverskridande ? kontrollerad styrning av myndigheters informationssäkerhet ? granskande myndigheter att bedöma lämpligheten hos specifika LIS
Abstract The ability to evaluate the information security capabilities of organizations is vital for the adequateness of the associated risk decisions. Swedish government agencies are supposed to address information security in accordance with the established standards for Information Security Management Systems (ISMS), such as the ISO/IEC 27001 and ISO/IEC 27004. The framework presented in this report supports this effort by providing means to evaluate the maturity of the information security metrics program that is supposed to be part of the ISMS. Applying the framework will provide illustrations of the maturity of the metrics program, as well as the overall results of the implemented information security metrics. These results can be used for comparisons of organizations as well as the basis for discussions and exchange of knowledge related to ISMS and information security metrics programs. We foresee that the application of the framework among Swedish government agencies will support their intra- and inter-organizational learning as well as the strategic management of the ISMS. Moreover, the ability of regulatory authorities to evaluate the ISMSs of agencies will benefit from the potentially increased transparency.

Kundvagn

Inga rapporter i kundvagnen

FOI, Totalförsvarets forskningsinstitut

FOI
Totalförsvarets forskningsinstitut
164 90 Stockholm

Tel: 08-555 030 00
Fax: 08-555 031 00

Orgnr: 202100-5182