A Framework for Inter-Organizational Comparisons of Information Security Capabilities

Författare:

  • Helena Granlund
  • Kristoffer Lundholm
  • Jonas Hallberg
  • Margaretha Eriksson

Publiceringsdatum: 2011-06-20

Rapportnummer: FOI-R--3186--SE

Sidor: 26

Skriven på: Engelska

Nyckelord:

  • Informationssäkerhet
  • Metrik
  • Ledningssystem för infomationssäkerhet (LIS)
  • ISO/IEC 27001
  • ISO/IEC 27004

Sammanfattning

Förmåga att bedöma organisationers informationssäkerhet är grundläggande för kvalitén hos relaterade riskhanteringsbeslut. Svenska myndigheter ska hantera informationssäkerhet i enlighet med etablerade standarder för ledningssystem för informationssäkerhet (LIS), såsom standarderna ISO/IEC 27001 och ISO/IEC 27004. Ramverket som presenteras i denna rapport stödjer detta arbete genom att tillhandahålla ett tillvägagångssätt för att värdera mognadsgraden hos det metrikprogram vilket ska vara en del av varje LIS. Nyttjande av ramverket ger indikationer på mognadsgraden hos metrikprogrammet liksom hur långt införandet av ett LIS har kommit. Dessa resultat kan nyttjas för jämförande av organisationer samt utgöra en grund för diskussioner och utbyte av erfarenheter relaterade till LIS och metrikprogram för informationssäkerhet. Vi anser att ett nyttjande av ramverket bland svenska myndigheter kommer att förbättra förutsättningarna för: ? lärande avseende informationssäkerhet, såväl inom enskilda myndigheter som myndighetsöverskridande ? kontrollerad styrning av myndigheters informationssäkerhet ? granskande myndigheter att bedöma lämpligheten hos specifika LIS