A Framework for Inter-Organizational Comparisons of Information Security Capabilities
Publiceringsdatum: 2011-06-20
Rapportnummer: FOI-R--3186--SE
Sidor: 26
Skriven på: Engelska
Nyckelord:
- Informationssäkerhet
- Metrik
- Ledningssystem för infomationssäkerhet (LIS)
- ISO/IEC 27001
- ISO/IEC 27004
Sammanfattning
Förmåga att bedöma organisationers informationssäkerhet är grundläggande för kvalitén hos relaterade riskhanteringsbeslut. Svenska myndigheter ska hantera informationssäkerhet i enlighet med etablerade standarder för ledningssystem för informationssäkerhet (LIS), såsom standarderna ISO/IEC 27001 och ISO/IEC 27004. Ramverket som presenteras i denna rapport stödjer detta arbete genom att tillhandahålla ett tillvägagångssätt för att värdera mognadsgraden hos det metrikprogram vilket ska vara en del av varje LIS. Nyttjande av ramverket ger indikationer på mognadsgraden hos metrikprogrammet liksom hur långt införandet av ett LIS har kommit. Dessa resultat kan nyttjas för jämförande av organisationer samt utgöra en grund för diskussioner och utbyte av erfarenheter relaterade till LIS och metrikprogram för informationssäkerhet. Vi anser att ett nyttjande av ramverket bland svenska myndigheter kommer att förbättra förutsättningarna för: ? lärande avseende informationssäkerhet, såväl inom enskilda myndigheter som myndighetsöverskridande ? kontrollerad styrning av myndigheters informationssäkerhet ? granskande myndigheter att bedöma lämpligheten hos specifika LIS