1 |
Effekterna av en ISO/IEC 27001-certifiering : Upplevda förändringar bland små svenska organisationer / The effects of ISO/IEC 27001 certification : Perceived changes among small Swedish organizationsLjunggren, Viktor, Freid, Emil January 2020 (has links)
Samhället idag är mer uppkopplat och hanterar större mängder information än tidigare. Informationen hanteras i större omfattning av IT-system där kraven på säker hantering av information blir allt större. För att hantera informationssäkerhet kan organisationer implementera ett ledningssystem för informationssäkerhet (LIS). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationer. För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över. Syftet med denna studie är att identifiera vilka förändringar som en ISO/IEC 27001-certifiering leder till hos små organisationer i Sverige. En intervjustudie har utförts med en semistrukturerad intervju som datainsamlingsmetod. Utifrån den insamlade empirin har sex kategorier identifierats och beskrivs tematiskt utifrån varje informant. Studien visar att organisationer får en bättre process och kontroll över informationssäkerhet och en stärkt informationssäkerhetskultur. Utöver detta uppges informationssäkerhet ha förbättrats bland organisationer genom olika säkerhetsåtgärder. Dessutom har kommunikationen med kunder förenklats, när informationssäkerhet diskuteras. Studien undersöker ISO/IEC 27001-certifierings påverkan hos flera organisationer, för att få en diversitet på den insamlade empirin. Detta genomfördes med en informant per organisation, med överblick över både organisationen och certifieringen. Studien undersöker organisationer som redan är certifierade, då organisationen ska ha implementerat ISO/IEC 27001-standarden. Varken certifieringsprocessen, säkerhetsåtgärder, implementationen av eller tillämpningen av ledningssystemet har undersökts i denna studie. / Society today is more connected and handles more information than ever before. The information is handled to a greater extent by IT systems, where the requirements for secure information management have increased. To manage this increase in information flow, organization can implement an information security management system (ISMS). It takes both time and resources to design and implement an ISMS. For this investment to be profitable, it should also provide additional value for companies. In order to standardize and specify the structure of ISMS, ISO/IEC 27001 (Standard for ISMS) has been developed and implemented by companies all over the world. The purpose of this study is to identify the changes that an ISO/IEC 27001-certification leads to for small organisations in Sweden. An interview study has been conducted and semi-structured interviews has been used for data collection. Based on the collected empirical evidence, six categories have been identified and described thematically for each informant. The study shows that organisations get a better process and control over information security and a strengthened information security culture. In addition, information security is said to have improved among organisations through various security measures. In addition communications with customers have been simplified, whenever information security is discussed. The study examines the impact of ISO/IEC 27001-certification on four organisations, in order to ensure diversity of the empirical evidence collected. This was done with one informant per organisation, with an overview of both the organisation and the certification. The study examines organisations that are already certified, since the organisation need to have implemented the ISO/IEC 27001 standard. Neither the certification process, the security measures, the implementation nor the application of the management system have been investigated in this study.
|
2 |
Análisis de los factores de éxito y limitantes para la implementación de la norma técnica peruana Iso NTP/IEC 27001;2014 2A. Edición en la Municipalidad provincial de Huancayo–I trimestre 2018Pino Malpica, Isabel Corina 10 April 2019 (has links)
La Presidencia de Consejo de Ministros (PCM) emitió un conjunto de normas entre ellas algunas relacionadas a la seguridad de la información, con la cual se dispuso la obligatoriedad de uso de la NTP ISO/IEC 27001:2008 (aprobada con RM Nº 129-2012- PCM del 4 de junio de 2012), posteriormente la Norma Técnica Peruana NTP-ISO /IEC 27001:2014 2da Edición (aprobada con RM N° 004-2016-PCM del 8 de enero de 2016). Sin embargo, han pasado 6 años desde entonces, y pocas entidades han logrado la implementación total de la norma, es por ello que este trabajo de investigación tiene como objetivo identificar estos factores de éxito o limitantes para la implementación de la norma.
La investigación se desarrolló en la Municipalidad Provincial de Huancayo, para lo cual elabore un check list en base a lo que solicita la norma y verifique la existencia en la Municipalidad durante I trimestre del año 2018, cualquiera fuese el resultado se solicitó información de los factores que permitieron el nivel alcanzado. Al finalizar la investigación se identificó que la entidad implemento 32% de lo solicitado por la norma, que algunos de los factores de éxito fue el conocimiento, experiencia e interés por parte del funcionario público responsable, y entre los limitantes la falta de procesos, cultura organizacional, presupuesto y capacitaciones.
|
3 |
Zavedení ISMS pro základní školu / Implementation of ISMS at Elementary SchoolHensl, Marek January 2017 (has links)
This diploma’s thesis deals with information security management system on elementary school. This work is based on long time experience with chosen school and on communication with representatives of elementary school. In this thesis are teoretical basics, specific state, shortcomings and proposed or recommended solutions.
|
4 |
SVENSKA VERKSAMHETERS UTMANINGAR MOT ETT CERTIFIKAT INOM INFORMATIONSSÄKERHET : En fallstudie om svenska verksamheters utmaningar för att certifiera sig enligt ISO 27001-standarden / SWEDISH ORGANIZATIONS CHALLENGES TOWARDS A CERTIFICATE WITHIN INFORMATION SECURITY : A case studie about Swedish organizations challenges to gain a certificate according to the ISO 27001 standard.Moffat, Hanna January 2023 (has links)
I detta examensarbete är syftet att undersöka svenska verksamheters utmaningar i att uppnå en ISO 27001-certifiering med sitt arbete inom informationssäkerhet. Digitala medier och verktyg är numera en stor del av samhällsviktiga verksamheters tjänster samt operationer och det har bidragit till stora möjligheter såväl som stora sårbarheter. ISO 27001-certifieringar är den standard som ligger till grund för säkerhetsskyddslagen såväl som NIS-direktivet vilket gör att det är en standard som svenska verksamheter kan applicera. Genom bakgrunden ges en inblick i vad informationssäkerhet är och hur det står i relation med cybersäkerhet. Bakgrunden innehåller även en introduktion till den svenska lagstiftningen inom informationssäkerhet såväl som ISO 27001-standarden för att belysa vad svenska verksamheter har att förhålla sig till när det kommer till sitt arbete med informationssäkerhet. I problemformuleringen lyfts de aktuella hoten och myndigheters uttalanden inom informationssäkerhet i Sverige och hur svenska verksamheter brister i dessa. Detta i kombination med den tidigare forskningen om hur utmaningar inom ISO 27001-certifieringar har tagit sitt uttryck för andra verksamheter. Metoden redovisar hur kvalitativa intervjuer använts som verktyg för datainsamling till fallstudien men även hur det tagit sitt uttryck och beskriver processen – från förberedelse till läsbar produkt, vilket är detta examensarbete. I analysen ställs den insamlade datan i relation till tidigare forskning samt aktuella händelser för att se vilka utmaningar svenska verksamheter har för att uppnå en ISO 27001-certifiering. Resultatet baseras på den insamlade datan då det är svenska verksamheters utmaningar som är aktuellt för fallstudien. Det resulterade i fyra utmaningar: motivation, tid och ekonomi, bransch samt komplexitet. Dessa utmaningar och dess bidragande faktorer redovisas i text såväl som figurer. Somliga av dessa utmaningar är utmaningar som lyfts i tidigare forskning, vilket gör att de även kan appliceras som utmaningar för svenska verksamheter. Uppsatsen avslutas med en diskussion där fallstudiens resultat diskuteras i olika perspektiv – samhälleliga, etiska samt vetenskapliga. Diskussion om val av metod, studiens resultat samt förslag på framtida forskning lyfts, där det diskuteras om hur lagar samt standarder inom informationssäkerhet är svåra att implementera samt förstå och om det ens är möjligt att göra det lättare.
|
5 |
Information Security Risk Assessment : An Analysis of a Medical Aid ServiceHedlund, Filip, Loots, Emma January 2020 (has links)
Security in the healthcare sector has historically been insufficient, seeing several high-profile cyber-attacks crippling availability of equipment and vital services with demands of ransom sums, and intrusions collecting sensitive patient data en masse. For this reason, digital services intended for medical use need to be convincingly secure in order to be adopted. This report investigates how to implement sufficient information security for a system involving a digital pill organiser with mobile application connectivity intended for professional medical use. Each component of the currently-indevelopment Dosis Pro system is systematically evaluated in order to assess which security measures need to be taken for the service to be considered adequately secure. The analysis is structured around the ISO IEC 27001:2013 guidelines, and potential solutions are suggested on a per-component basis based on a broad literature study in related research. The result is practical solutions for 19 highlighted problem areas, which should achieve a reasonable level of security overall in combination with the careful data flow of the service. Further, to achieve an exceptionally secure system it is advisable to test the solutions on a complete system, and continuously carry out similar evaluations and improve its design throughout several years of operation. / Hälsovårdssektorn har genom tiderna utstått många angrepp mot sina digitala verktyg och tjänster. Det har rådit allt från storskaliga dataintrång till förhindrande av kritiska offentliga tjänster med krav på lösensummor. På grund av det här måste digitala produkter avsedda för medicinskt bruk visas vara säkra för att bli accepterade. I detta examensarbete undersöks det hur man kan implementera fullgod datasäkerhet för ett system kring en digital pillerdosa med appanslutning avsedd för bruk inom vården. I rapporten undersöks systematiskt varje komponent av Dosis Pro-tjänsten för att avgöra vilka säkerhetsrisker som existerar och vilka åtgärder som behöver vidtas för att tjänsten ska kunna konstateras vara säker. Analysen struktureras enligt riktlinjerna från ISO IEC 27001:2013, lösningar föreslås komponentvis utifrån en bred litteraturstudie inom relaterad forskning. Resultatet är praktiska lösningar för 19 identifierade problemområden, vilka tillsammans bör uppnå en godkänd säkerhetsnivå medräknat tjänstens försiktiga data-flöde. Vidare, för att uppnå ett exceptionellt säkert system, rekommenderas det att testa lösningarna i ett färdigt system, och kontinuerligt utföra liknande utvärderingar för att göra förbättringar under flera år av drift.
|
6 |
Implanta??o de ferramentas e t?cnicas de seguran?a da informa??o em conformidade com as normas ISO 27001 e ISO 17799Souza, Ranieri Marinho de 15 February 2008 (has links)
Made available in DSpace on 2016-04-04T18:31:22Z (GMT). No. of bitstreams: 1
raniere marinho de souza.pdf: 1926577 bytes, checksum: 484dfcd407330aafd991c45a093a9fdb (MD5)
Previous issue date: 2008-02-15 / The technical evolution that we are living both in relation to the computer programs and to the hardware equipments that supply the market, it also happens to the threats in the virtual world. Besides the technological advance, we also have the popularization of the broadband Internet access, which makes possible a faster threats proliferation. However, the mechanisms of information security not always are able to withhold such threats, being therefore, necessary to develop a security project tailored to the characteristics of businesses of each company, because a specific knowledge of the vulnerabilities is a fundamental step to minimize the effects of any eventual threat. Bearing this scenario in mind, in this work we present a method to provide information security to organizations that use telecommunications and computer networks resources. / A evolu??o tecnol?gica que estamos vivendo tanto em rela??o aos softwares de computador quanto aos equipamentos de inform?tica que abastecem o mercado tamb?m ocorre em rela??o ?s amea?as no assim chamado mundo virtual. Aliado ao fato do avan?o tecnol?gico temos ainda a populariza??o do acesso ? Internet por banda larga, que possibilita uma maior velocidade na prolifera??o de amea?as. No entanto, os mecanismos de seguran?a da informa??o nem sempre est?o aptos a det?-las, sendo, portanto, necess?rio desenvolver um projeto de seguran?a adequado aos neg?cios e caracter?sticas de cada empresa, pois um conhecimento espec?fico das vulnerabilidades ? um passo fundamental para se minimizar os efeitos de qualquer eventual amea?a. Em vista desse cen?rio, neste trabalho apresentamos um m?todo para prover a seguran?a da informa??o em organiza??es que utilizem recursos de redes de computadores e de telecomunica??es. Termos de indexa??o: seguran?a, tecnologia, informa??o, telecomunica??es, ISO 17799 e ISO 27001.
|
7 |
Hur ISO 27001 certifierade företag utvecklar sina anställdas Kunskap, Attityd och Beteende mot Informationssäkerhetsmedvetenhet / How ISO 27001 certified companies develop their employees´Knowledge, Attitude and Behavior towards Information Security AwarenessIstiphan, Sebastian, Biller, Alexander January 2023 (has links)
Många företag har idag ett stort ansvar att hålla information säker. Med människor som jobbar med informationen hos företag följer därför arbetet med att stärka informationssäkerhetsmedvetenheten, vilket kan göras genom att bland annat implementera ett ledningssystem för informationssäkerhet efter standarden ISO 27001. Det finns däremot flera sätt att påverka informationssäkerhetsmedvetenheten och bland dessa är det genom att påverka kunskap, attityd eller beteende. Denna studie har därför undersökt hur företag arbetar med dessa aspekter i ett företag certifierat genom ISO 27001. För studien har semistrukturerade intervjuer utförts hos ISO 27001-certifierade företag med vidare analys för att besvara studiens frågeställning. Resultaten visar att företagen enhetligt har ett stort fokus på kunskapsaspekten av arbetet med informationssäkerhetsmedvetenhet samt att beteende är något som sällan är problematiskt men följes upp med åtgärder beroende på incidenten. Slutsatserna som presenteras är rekommendationer som när applicerbara ökar informationssäkerhetsmedvetenheten hos företag. Studien har främst undersökt kunskap, attityd och beteende hos ISO 27001-certifierade företag i Sverige vilket gör att kulturella och dylika faktorer möjligtvis saknas, vilket kan påverka hur applicerbara rekommendationer är för företag utanför Sverige. / Many companies today have a big responsibility to keep their information secure. As there are employees working with information, there is also a need for improvement of the employee’s information security awareness. This can be done through implementation of a management system for information security of the ISO 27001 standard. There are multiple ways to improve the information security awareness and some of these are through improving the knowledge, attitude, and behavior of the employee. This study has investigated how companies that have an ISO 27001 certification improve their employee’s knowledge, attitude, and behavior. The study identified this improvement through a qualitative method using semi-structured interviews, where the respondents are employees at companies that are ISO 27001 certified, the interviewees answers were then analyzed to answer the study’s question at issue. The results show that the companies uniformly focus on the knowledge aspect of information security awareness and that behavior is rarely an issue but that in the case of an incident is investigated. The conclusion presents recommendations as to how companies can improve their employee’s knowledge, attitude, and behavior to information security. The study mainly studied the knowledge, attitude, and behavior of Swedish companies that are ISO 27001 certified, which makes cultural and similar factors are missing which might affect how applicable the recommendations are for companies outside Sweden.
|
8 |
Hinder och möjligheter med införandet av ISO 27001 : En undersökning på en medelstor organisationVejseli, Arlind, Hedberg, Stefan January 2016 (has links)
Internetanvändande har de senaste 20 åren växt på en global nivå från 2 % till 40 %. Detta har ökat den allmänna hotbilden mot organisationer och deras sårbarhet till förlust av viktig information. Idag har flera organisationers värde större omfattning som består av information. International Organization for Standardization (ISO) samt International Electrotechnical Commision (IEC) bildar ett system som används för global standardisering inom informationssäkerhet. ISO 27001 är ett hjälpmedel för att skapa ett strukturerat och effektivt arbetssätt för organisationer att öka den allmänna säkerheten samt kontrollen inom organisationen. Syftet med studien är att beskriva hur personalens förutsättningar påverkas vid en implementering av ISO 27001-standarden i en medelstor organisation. För att ta reda på hur personalens förutsättningar påverkas vid en ISO 27001-certifiering utfördes en kvalitativ datainsamling, i form av intervjuer, på en medelstor organisation som nyligen har infört ISO 27001. Fyra intervjuer utfördes med personer som arbetar med IT-säkerhet på undersökningsföretaget. Studien beskrev att anställdas förutsättningar påverkades, genom att de var tvungna att arbeta efter en ny arbetsstruktur i samband med införandet av ISO 27001. Anställda var positiva till att ISO-certifieras, eftersom att det ansågs vara en del av säkerhetsarbetet. Det fanns också en osäkerhet kring hur det dagliga arbetet samt rutinerna skulle påverkas av ISO 27001.
|
9 |
An investigation of ISO/IEC 27001 adoption in South AfricaCoetzer, Christo January 2015 (has links)
The research objective of this study is to investigate the low adoption of the ISO/IEC 27001 standard in South African organisations. This study does not differentiate between the ISO/IEC 27001:2005 and ISO/IEC 27001:2013 versions, as the focus is on adoption of the ISO/IEC 27001 standard. A survey-based research design was selected as the data collection method. The research instruments used in this study include a web-based questionnaire and in-person interviews with the participants. Based on the findings of this research, the organisations that participated in this study have an understanding of the ISO/IEC 27001 standard; however, fewer than a quarter of these have fully adopted the ISO/IEC 27001 standard. Furthermore, the main business objectives for organisations that have adopted the ISO/IEC 27001 standard were to ensure legal and regulatory compliance, and to fulfil client requirements. An Information Security Management System management guide based on the ISO/IEC 27001 Plan-Do-Check-Act model is developed to help organisations interested in the standard move towards ISO/IEC 27001 compliance.
|
10 |
Vplyv regulácií ISO 27001 a SOX na riadenie bezpečnosti informácií podniku / Impact of regulations ISO 27001 and SOX on information security management in enterprisesBystrianska, Lucia January 2015 (has links)
The master thesis has analytical character and focuses on information security issues in enterprises. The mail goal of this thesis is to evaluate the impact of implemented standard ISO/IEC 27001 and regulation by American law SOX to overall information security. In order to preform the analysis, two medium-sized companies from the segment of services were selected: the first one with ISO/IEC 27001 certification and the second one regulated by SOX. The structure of the thesis contributes gradually with its steps to meet the goal. The first three chapters provide a theoretical basis for the analysis of information security. They contain a summary of key processes and tools essential for ensuring the information security and are based on the best practices included within the latest standards and methodologies and on practical experience. These chapters provide the basis for an evaluation guidance including criteria groups and defined variants of implemented security, which is described in the fourth chapter. The analysis of information security and the impact of regulations is part of the fifth chapter of this document. The sixth chapter contains final assessment and comparison of the impact, which the regulations have on information security of the selected companies. The final chapter summarizes and evaluates the results achieved with regards to the goal.
|
Page generated in 0.0273 seconds