Global ETD Search

1	Riktlinjer för implementering av ISO 17799 / Guidelines for implementation of ISO 17799 Nauman, Anders, Söndergaard, Simon January 2010 (has links) <p>An ongoing concern within the Intellectual Technological world is the issue of security. There are severe consequences if someone without permission searches a computer for secret information that was left unlocked. In order to prevent this situation from occurring, rules about password lengths or employees bringing personal flash drives into the company should be created and followed.</p><p>As Internet become a worldwide phenomenon, the use of information technology is growing more than ever. With more use and accessibility to Internet, new threats against companies have also emerged. This report brings up the main issues that a company needs to regulate today.</p><p>The standard for regulations and proposals for IT-security comes in a document called ISO 17799 and very complicated for those who are not experts in the field. Very few small companies manage to apply the standard since it too large and complex.</p><p>The main goal with this thesis is to create a simplified version of ISO 17799 and to make it understandable by non experts. The thesis also gives focus on Conect AB through suggesting a template in which shall be adjusted for their customers to use and inform them of threats that may be of interest.</p><p>This thesis is based on the following questions:</p><ul><li>How can we make the standard less difficult to understand?</li><li>Does the material cover the necessary needs of network security?</li><li>How often shall the material be updated to be up to date in the future?</li></ul><p>As a result, this thesis displays the ISO 17799 in the form of a suggested template and it presents explanations and consequences if a company/organisation does not have a particular function or a physical implementation.</p><p>The method in which the template had been created was through the reading of the ISO 17799 standard for insight on what is included and the explanations in which certain parts are vital. Even if a standard should have proper information possible as well as contain the latest information, the project group processed other sources and explanations in order to get higher credibility and to see if there were new technology and facts about the subject.</p> / <p>Säkerhetsfrågor kommer alltid att vara aktuella. Att lämna datorn olåst kan innebära att någon utan rättigheter letar igenom datorn för sekretessbelagd information under den korta stunden användaren är borta. Hur bör man hantera detta, hur bör ett lösenord se ut och varför ska man egentligen inte ta med USB-minnen hemifrån och använda inom verksamheten? Idag används informationsteknik mer än någonsin innan, speciellt med hjälp av Internet. Eftersom nya hot dyker upp bakom hörnet varje dag bör verksamheter planera för problem som kan uppstå. Denna rapport innehåller riktlinjer om hur detta kan gås till väga.</p><p>Standarden för hur man sköter IT-säkerhet går under namnet ISO 17799 och är väldigt omfattande. Informationen i standarden är inte anpassad för mindre företag vilket innebär att informationen kan bli svårläst och överflödig. Var ska man börja i en stor standard för att få goda resultat?</p><p>Denna rapport presenterar resultatet från en undersökning och hur säkerhetsstandarden ISO 17799 kan göras mer lättförstådd. På uppdrag av Conect AB har en enklare förklarad sammanfattning och mall skapats vilket ska kunna appliceras på företagets kunder som är små- och medelstora företag. Denna sammanfattning ska förenkla upprätthållelsen och förståelsen av olika säkerhetspunkter inom ett nätverk.</p><p>De frågeställningar som examensarbetet baserar sig på är:</p><ul><li>Hur kan ISO 17799 göras mer lättförstådd? </li><li>Kan det sammanfattade resultatet täcka dagens behov av säkerhet?</li><li>Hur ofta bör underlaget uppdateras för att vara aktuellt?</li></ul><p> </p><p>Innehållet i rapporten visar hur ISO 17799 kan brytas ned och göras mer lättförstådd.</p><p>Rapporten påvisar även eventuella konsekvenser som kan inträffa om en del inte finns implementerad. En analys har utförts för att visa vikten av de valda områden som återfinns i resultatet samt verifiera de hot som finns.</p><p>Studier av ISO 17799 har gjorts för att kunna bryta ned innehållet i standarden och för att kunna få en djupare förståelse av dess uppbyggnad. Litteraturstudier har utförts, för att stärka informationen som blivit funnen har information behandlats källkritiskt.</p> iso 17799 säkerhet policy Computer engineering Datorteknik
2	Riktlinjer för implementering av ISO 17799 / Guidelines for implementation of ISO 17799 Nauman, Anders, Söndergaard, Simon January 2010 (has links) An ongoing concern within the Intellectual Technological world is the issue of security. There are severe consequences if someone without permission searches a computer for secret information that was left unlocked. In order to prevent this situation from occurring, rules about password lengths or employees bringing personal flash drives into the company should be created and followed. As Internet become a worldwide phenomenon, the use of information technology is growing more than ever. With more use and accessibility to Internet, new threats against companies have also emerged. This report brings up the main issues that a company needs to regulate today. The standard for regulations and proposals for IT-security comes in a document called ISO 17799 and very complicated for those who are not experts in the field. Very few small companies manage to apply the standard since it too large and complex. The main goal with this thesis is to create a simplified version of ISO 17799 and to make it understandable by non experts. The thesis also gives focus on Conect AB through suggesting a template in which shall be adjusted for their customers to use and inform them of threats that may be of interest. This thesis is based on the following questions: How can we make the standard less difficult to understand? Does the material cover the necessary needs of network security? How often shall the material be updated to be up to date in the future? As a result, this thesis displays the ISO 17799 in the form of a suggested template and it presents explanations and consequences if a company/organisation does not have a particular function or a physical implementation. The method in which the template had been created was through the reading of the ISO 17799 standard for insight on what is included and the explanations in which certain parts are vital. Even if a standard should have proper information possible as well as contain the latest information, the project group processed other sources and explanations in order to get higher credibility and to see if there were new technology and facts about the subject. / Säkerhetsfrågor kommer alltid att vara aktuella. Att lämna datorn olåst kan innebära att någon utan rättigheter letar igenom datorn för sekretessbelagd information under den korta stunden användaren är borta. Hur bör man hantera detta, hur bör ett lösenord se ut och varför ska man egentligen inte ta med USB-minnen hemifrån och använda inom verksamheten? Idag används informationsteknik mer än någonsin innan, speciellt med hjälp av Internet. Eftersom nya hot dyker upp bakom hörnet varje dag bör verksamheter planera för problem som kan uppstå. Denna rapport innehåller riktlinjer om hur detta kan gås till väga. Standarden för hur man sköter IT-säkerhet går under namnet ISO 17799 och är väldigt omfattande. Informationen i standarden är inte anpassad för mindre företag vilket innebär att informationen kan bli svårläst och överflödig. Var ska man börja i en stor standard för att få goda resultat? Denna rapport presenterar resultatet från en undersökning och hur säkerhetsstandarden ISO 17799 kan göras mer lättförstådd. På uppdrag av Conect AB har en enklare förklarad sammanfattning och mall skapats vilket ska kunna appliceras på företagets kunder som är små- och medelstora företag. Denna sammanfattning ska förenkla upprätthållelsen och förståelsen av olika säkerhetspunkter inom ett nätverk. De frågeställningar som examensarbetet baserar sig på är: Hur kan ISO 17799 göras mer lättförstådd? Kan det sammanfattade resultatet täcka dagens behov av säkerhet? Hur ofta bör underlaget uppdateras för att vara aktuellt? Innehållet i rapporten visar hur ISO 17799 kan brytas ned och göras mer lättförstådd. Rapporten påvisar även eventuella konsekvenser som kan inträffa om en del inte finns implementerad. En analys har utförts för att visa vikten av de valda områden som återfinns i resultatet samt verifiera de hot som finns. Studier av ISO 17799 har gjorts för att kunna bryta ned innehållet i standarden och för att kunna få en djupare förståelse av dess uppbyggnad. Litteraturstudier har utförts, för att stärka informationen som blivit funnen har information behandlats källkritiskt. iso 17799 säkerhet policy Computer Engineering Datorteknik
3	A model to assess the Information Security status of an organization with special reference to the Policy Dimension. Grobler, Cornelia Petronella 29 May 2008 (has links) Information Security is becoming a high-priority issue in most organizations. Management is responsible for the implementation of security in the organization. Information Security is a multi-dimensional discipline. A well-defined Information Security Management strategy will enable managers to manage security effectively and efficiently in the organization. Management must be able to assess the current security status of the organization. Currently, no comprehensive, integrated assessment tool or model exists to assess the total security posture of an organization. The study will address the problem by proposing a high-level integrated assessment model for Information Security. The study is divided into 4 parts. Part one: Introduction to Information Security Management consists of three chapters. Chapter 1 provides the user with an introduction and background to the study. In chapter 2, the study discusses Information Security as a multi-dimensional discipline. The dimensions identified are the Corporate Governance (Strategic and Operational), Policy, People, Risk Management, Legal, Compliance and Technology dimensions. Information Security is no longer a technical issue, it must be managed. The need for an Information Security Management strategy is discussed in chapter 3 of the study. A successful management strategy should be based on a well-defined Information Security Architecture. Part 2: Information Security Architectures, of the study consists of one chapter. Chapter 4 of the study discusses and compares different Information Security Architectures. The study uses the information gathered from the comparative study and best practices: CobiT and ISO17799, to propose a new Information Security Architecture: RISA. The study uses this architecture as a framework for the assessment model. Part 3: Assessing security consists of five chapters. Chapter 5 discusses the characteristics of assessment and proposes an assessment framework. The study recognizes that assessment on the different levels of an organization will be different, as the assessment requirements on management level will differ from the requirements on a technical level. It is important to use best practices in the assessment model as it enables organizations to prove their security readiness and status to business partners. Best practices and standards enable organizations to implement security in a structured way. Chapter 6 discusses the ISO17799 and CobiT as best practices and their role in the assessment process. Chapter 7 of the study discusses various factors that will influence security assessment in an organization. These factors are the size of the organization, the type of organization and the resources that need to be secured. The chapter briefly discusses the various dimensions of Information Security and identifies deliverables to assess for every dimension. The chapter proposes a high-level, integrated assessment plan for Information Security, using the deliverables identified for each dimension. The study refines the assessment plan for the Policy Dimension in chapter 8. The chapter proposes various checklists to determine the completeness of the policy set, correct format of every documented policy and if supporting documentation exist for every documented policy. A policy status result will be allocated to each policy that the organization needs. The status results of all the individual policies will be combined to determine the security status of the Policy dimension. The study proposes an integrated high-level assessment model in chapter 9 of the study. This model uses the RISA and assessment plan as proposed in chapter 7. It includes all the specified dimensions of Information Security. The assessment model will enable management to obtain a comprehensive high-level picture of the total security posture of an organization. Chapter 10 will summarize the research done and propose further research to be done. / Prof. S.H. von Solms computer security data protection ISO 17799
4	Implanta??o de ferramentas e t?cnicas de seguran?a da informa??o em conformidade com as normas ISO 27001 e ISO 17799 Souza, Ranieri Marinho de 15 February 2008 (has links) Made available in DSpace on 2016-04-04T18:31:22Z (GMT). No. of bitstreams: 1 raniere marinho de souza.pdf: 1926577 bytes, checksum: 484dfcd407330aafd991c45a093a9fdb (MD5) Previous issue date: 2008-02-15 / The technical evolution that we are living both in relation to the computer programs and to the hardware equipments that supply the market, it also happens to the threats in the virtual world. Besides the technological advance, we also have the popularization of the broadband Internet access, which makes possible a faster threats proliferation. However, the mechanisms of information security not always are able to withhold such threats, being therefore, necessary to develop a security project tailored to the characteristics of businesses of each company, because a specific knowledge of the vulnerabilities is a fundamental step to minimize the effects of any eventual threat. Bearing this scenario in mind, in this work we present a method to provide information security to organizations that use telecommunications and computer networks resources. / A evolu??o tecnol?gica que estamos vivendo tanto em rela??o aos softwares de computador quanto aos equipamentos de inform?tica que abastecem o mercado tamb?m ocorre em rela??o ?s amea?as no assim chamado mundo virtual. Aliado ao fato do avan?o tecnol?gico temos ainda a populariza??o do acesso ? Internet por banda larga, que possibilita uma maior velocidade na prolifera??o de amea?as. No entanto, os mecanismos de seguran?a da informa??o nem sempre est?o aptos a det?-las, sendo, portanto, necess?rio desenvolver um projeto de seguran?a adequado aos neg?cios e caracter?sticas de cada empresa, pois um conhecimento espec?fico das vulnerabilidades ? um passo fundamental para se minimizar os efeitos de qualquer eventual amea?a. Em vista desse cen?rio, neste trabalho apresentamos um m?todo para prover a seguran?a da informa??o em organiza??es que utilizem recursos de redes de computadores e de telecomunica??es. Termos de indexa??o: seguran?a, tecnologia, informa??o, telecomunica??es, ISO 17799 e ISO 27001. seguran?a tecnologia informa??o telecomunica??es ISO 17799 ISO 27001 security technology information telecommunications ISO 17799 ISO 27001
5	Fact of Disaster Recover Plan within Information Security Management System ¡ÐExample as CTS Corporation Lee, Chun-Lung 18 July 2003 (has links) Abstract The motive of thesis is trying to find out the role of information system security via the researching company ¡V CTS Corporation¡¦s disaster recovery plan and present a model to discuss with that. While through the researching procedure, we found out that most of information security systems obey the BS 7799-2 and ISO 17799 even the CNS 17799 in the world. Through the help of investigation of the questionnaire, all evidence just show out that how to construct and recognize the information security system is the issue and trend for enterprise to do after the ISO 9000 and QS 9000. Since 1978, the case study company, CTS Corporation has had fire and evacuation procedures, which were informally supported by various committees. An emergency plan, which was issued March 24, 1980, incorporated the functions of these committees and provided more formalized procedures for responding to emergencies. The emergency plan was later reissued as know of ¡§CTS Corporation Disaster Recovery Plan¡¨ as one of policy to be followed. In thesis, widely discuss the risk and evaluation of information security and show up some of major case of the information security for domestic and international by sequence of the date. Present some of overview from industry¡Bgovernment and academic how to face such of information security around the enterprises. Final conduct of 10 control sets, 36 control subjects and 127 control items with 8 abstracts of ISO 17799 introduction from BS 7799-1 and BS 779902 with comparison of ISO 17799 totally. Compare and distinguish the variance from CTS Corporation and those of international standard for the information security system, we deploy 4 steps of development the information security system as of: Information Security Policy; Documentation and Implementation; Risks Management and Information Security Management Security (ISMS). Provide evidence of questionnaires of the case study company. Summary three of dimensions for five(5) issues of ¡§Environment & Infrastructure¡¨, seven(7) issues of ¡§Disaster Recovering Planning¡¨ and six(6) issues of ¡§Business Contingency Planning¡¨ to conduce a Disaster Recovery Planning¡¦s Deployment Model for seven steps of four scenario as a conclusion. Disaster Recovery Plan ISMS Contingency Plan BS 7799 CNS 17799 Risk Management ISO 17799
6	Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras Benz, Karl Heinz January 2008 (has links) A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação. / The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems. Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization. The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul. To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research. At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors. Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul. The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information. Tecnologia da informação Sistemas de informação Política de informação Planejamento estratégico Alinhamento estratégico Strategic alignment Information security ISO 17799 Information technology
7	Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras Benz, Karl Heinz January 2008 (has links) A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação. / The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems. Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization. The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul. To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research. At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors. Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul. The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information. Tecnologia da informação Sistemas de informação Política de informação Planejamento estratégico Alinhamento estratégico Strategic alignment Information security ISO 17799 Information technology
8	Alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI : estudos de caso em instituições financeiras Benz, Karl Heinz January 2008 (has links) A crescente importância da TI nas organizações torna crucial o alinhamento estratégico da política de segurança da informação, definida pelas organizações em função de normas locais e nacionais, regulamentos e melhores práticas, com as estratégias de TI específicas para segurança da informação, definidas no Planejamento Estratégico de Sistemas de Informação (projetos e práticas implementadas de Segurança da Informação). Caso contrário, facilmente os resultados do planejamento de TI poderão ser comprometidos por problemas de segurança. Assim, analisar o alinhamento da política de segurança com o planejamento de TI passa a ser muito importante para o bom desempenho da organização. O objetivo desta Dissertação de Mestrado foi identificar as principais características encontradas nos modelos de alinhamento estratégico entre as políticas de segurança da informação e as estratégias e práticas adotadas na TI, assim como os principais fatores habilitadores e inibidores do mesmo, em organizações da área financeira com atuação no Rio Grande do Sul. Para atingir este objetivo foram realizados Estudos de Caso descritivos e exploratórios em três instituições financeiras: um banco comercial de economia mista, um banco comercial cooperativado e uma instituição financeira pública de fomento. Este último utilizado como caso de contraste. Para tanto foram entrevistados um total de 13 profissionais representativos ao teor desta pesquisa. Ao final deste estudo é gerada uma lista de fatores habilitadores (apoio ativo da Diretoria; criação de estrutura específica de Segurança da Informação, posicionada hierarquicamente no mesmo nível que a TI; Política de Segurança da Informação configurada em 3 (três) níveis: estratégico, tático e operacional; ameaça do impacto de uma quebra na segurança; conformidade com leis, regulamentações específicas, padrões relevantes, contratos e diretrizes estratégicas corporativas; aderência a padrões de TI, como COBIT e ITIL, e segurança da informação, como a norma ABNT ISO 17799:2005; efeitos da estratégia sobre a TI e segurança da informação; ferramentas de TI como ferramentas estratégicas; existência de políticas de segurança específicas; controles e procedimentos de segurança incorporados aos sistemas; participação da segurança da informação no ciclo de vida dos sistemas; projetos de TI como ameaça; consciência da segurança da informação por parte dos usuários internos; normas de relacionamento com usuários; critérios de aceitação de sistemas; controles e procedimentos de prevenção, detecção e recuperação contra incidentes de segurança; confiabilidade, segurança e estabilidade da infra-estrutura) e inibidores (pouca importânciapara a Segurança da Informação, com seu posicionamento hierárquico subordinado à TI; ausência de Política de Segurança da Informação formalizada em 3 níveis; falta de conformidade; efeitos negativos não detectados de novas estratégias corporativas na TI e na segurança da informação; a segurança da informação não fazendo parte do ciclo de vida dos sistemas; ameaças não detectadas de projetos de TI à segurança da informação; falta de consciência do uso seguro dos sistemas por parte dos usuários internos; falta de consciência do uso seguro dos sistemas por parte dos clientes). Por fim, uma das principais implicações práticas deste estudo foi confirmar o uso da norma ABNT ISO 17799:2005 como padrão para a implantação de políticas de segurança da informação nas instituições financeiras com atuação no Rio Grande do Sul. Como principal contribuição acadêmica pode-se dizer que esta dissertação vem somar-se a alguns poucos trabalhos acadêmicos, tais como Oliva (2003) e Lessa (2006), no sentido de refletir sobre o alinhamento estratégico da segurança da informação. / The growing importance of IT in organizations makes crucial the strategic alignment of the policy of information security, defined by the organizations on the basis of local and national standards, regulations and best practices, with the specific strategies of IT to the information security, defined in the Strategic Planning of Information Systems. Otherwise, easily the results of the planning of IT may be compromised by security problems. So the examine of the alignment of security policy with planning IT becomes very important to the performance of the organization. The goal of this dissertation was to identify the main features found in models of strategic alignment between the policies of information security and the strategies and practices adopted in the IT, as the main enablers and inhibitors factors of this alignment, in financial organizations in Rio Grande do Sul. To achieve this goal, Case Studies were performed descriptive and exploratory in three financial institutions: a commercial bank of mixed economy, a cooperative commercial bank and a public financial institution, the latter used as a case of contrast. There were interviewed a total of 13 highly professional representative to the content of this research. At the end of this study there are generated hypotheses about the strategic alignment in question, and a list of factors enablers and inhibitors. Finally, a major practical implications of this study was to confirm the use of the standard ABNT ISO 17799:2005 as standard for the implementation of policies of information security at financial institutions in Rio Grande do Sul. The main academic contribution can be said that this dissertation is to add a few scholarly works, such as Oliva (2003) and Lessa (2006), to reflect on the strategic alignment of the security of information. Tecnologia da informação Sistemas de informação Política de informação Planejamento estratégico Alinhamento estratégico Strategic alignment Information security ISO 17799 Information technology
9	Social engineering and the ISO/IEC 17799:2005 security standard: a study on effectiveness Frangopoulos, Evangelos D. 31 March 2007 (has links) As Information Security (IS) standards do not always effectively cater for Social Engineering (SE) attacks, the expected results of an Information Security Management System (ISMS), based on such standards, can be seriously undermined by uncontrolled SE vulnerabilities. ISO/IEC 17799:2005 is the subject of the current analysis as it is the type of standard not restricted to technical controls, while encompassing proposals from other standards and generally-accepted sets of recommendations in the field. Following an analysis of key characteristics of SE and based on the study of Psychological and Social aspects of SE and IS, a detailed examination of ISO/IEC 17799:2005 is presented and an assessment of the efficiency of its controls with respect to SE is provided. Furthermore, enhancements to existing controls and inclusion of new controls aimed at strengthening the defense against Social Engineering are suggested. Measurement and quantification issues of IS with respect to SE are also dealt with. A novel way of assessing the level of Information Assurance in a system is proposed and sets the basis for future work on this subject. / Information Systems / M. Sc. (Information Systems) Information assurance Influence Persuasion Actor-network theory Objective reality Subjective reality ISO 27002 ISO 27001 ISO 17799 Security policy Information security Social engineering 005.8 Social engineering Data protection Computer security
10	大型企業資訊安全實務研究 / A Research into Information Security Case Study of Large-Scale Firms 金慶柏, Chin,Robert CP Unknown Date (has links) 本研究主要在探討大型企業的資訊安全案例。在二十一世紀的今天，資訊系統及電腦資產對組織的成功更加重要，所以務必防止它們遭受遺失、竄改或毀滅的風險。資訊安全是保護資料、資訊遭受意外或有意的誤用的一種過程，不論是被組織內或組織外的人，包括員工、外包的顧問或網路上的駭客。資訊安全是組織中很策略的一環，不光是也不應是資訊部門一己的責任。依據Datamonitor的估計，美國企業一年在資訊安全漏洞上至少損失美金一百五十億元。根據電腦安全學院（Computer Security Institute, CSI）及聯邦調查局（Federal Bureau of Intelligence, FBI）2004年的問卷調查顯示百分之四十九的企業曾發生個人電腦失竊的案例。依據IronPort的估計，一年前每年約有三百億封垃圾郵件，現在則激增至五百五十億封垃圾郵件。時至今日，對於資訊安全的主要威脅不是來自於組織外的駭客、病毒或蠕蟲，而是組織內的個人。不論組織內的個人是有意或無意地違反資訊安全的政策和規定，其後果可能相當嚴重，小至組織形象受損、業務損失，大至官司纏身或巨額罰款。根據紐約時報2006年的報導：臺灣的高科技公司佔有全球半導體晶圓專工產業百分之七十的市佔率，百分之四十的半導體封裝市場，百分之五十的半導體測試市場，百分之八十的電腦主機板市場，百分之七十二的筆記本電腦代工市場，百分之六十八的LCD螢幕市場。我們如何繼續保持在全球市場上的領先地位？我們仍然得繼續在研究發展、生產製造及全球運籌上加碼投資。然而，在全球經濟之下，如何透過執行一套安全的、全球的及穩定的資訊網路及基礎架構以提供客戶更好的服務更是必要的。對每一位資訊長或資安長而言，資訊安全永遠是他最關心的前三大議題之一。資訊安全當然是說比做容易，正確導入與永續執行才是根本。花錢購買資訊安全設備是相對簡單的。知道要保護什麼，如何保護以及要控制什麼就沒有那麼簡單了。在真實的商業世界裡，基於家醜不外揚，鮮有公司願意分享或公佈它資訊安全上的弱點及缺點。本論文的主要目的有二：一是研究業界最新的資訊安全標準及資訊安全供應商的看法，例如： 1. 國際標準組織（International Standard Organization, ISO）17799。 2. 英國標準組織（British Standard Institute, BS）7799。 3. 國際商業機器股份有限公司（International Business Machines, IBM）的資訊安全計劃。 4. 惠普股份有限公司（HP）及Information Security System公司的資訊安全稽核機制。 5. 微軟股份有限公司（Microsoft）。二是提供一些真實的成功案例以提供給其他有興趣的組織作為參考。從結論發現，我們可藉由改善核心業務流程，去建造新的資訊安全系統，去運營一個可長治久安的實體與虛擬的環境，並強化公司的知識管理及傳承 / In the twenty-first century, information system and computing assets are more critical to organization’s success, and as a result, must be protected from loss, modification or destruction. Information security is the process of protecting data / information from accidental or intentional misuse by person inside or outside of an organization, including employee, consultants, and hackers. Information security is a strategic part of an organization, not just the issue of Management Information System, MIS, or Information Technology, IT, department. According to “Datamonitor”, US$ 15 billion, at least, cost of information security breaches to United States businesses in one year. From the survey of Computer Security Institute, CSI, and Federal Bureau of Intelligence, FBI, in 2004, 49% of companies experienced notebook Personal Computer theft. According to IronPort, there are 55 billion spam e-mail per year right now, compared with 30 billion spam e-mail yearly. Today, the largest threat to information security is not the typical hacker, virus or worm, but the corporate insider. Whether insiders violate data security policies in advertently or with maliciously, the result can expose the company to public embarrassment, lost business, costly lawsuit, and regulatory fines. Taiwanese high-technology companies have 70% market share of worldwide semiconductor foundry business, 40% share of semiconductor package segment, 50% share of semiconductor testing, 80% of computer motherboard, 72% share of notebook PC, 68% of LCD monitor --- New York Times, 2006. How can we keep maintaining the leading positions around the globe? To invest in R&D, manufacturing, and global logistics is key. However, how to implement a secure, global and reliable IT network and infrastructure to server customers better is a must under current global economy. To every Chief Information Officer, CIO, or Chief Security Officer, CSO, Information security is always one of the top 3 to-do list. Information security is easy to talk about. But, implementations and executions are where talk must turn into action. Purchasing security device is easy. Knowing how and what to protect ad what controls to put in place is a bit more difficult. In the real commercial world, no one or company would like to share or release its weakness to the public. The objective of this thesis is to study most updated information security industry standard and information security suppliers’ view, like: 1. International Standard Organization, ISO, 17799. 2. British Standard Institute’s BS 7799. 3. IBM’s Information Security Program, ISP. 4. HP & Information Security Systems’ Information Security Audit Mechanism, ISAM. 5. Microsoft Also to provide a real successful case / framework for other companies to ensure a consistent, enterprise-wide information security focus is maintained across organization boundaries. In conclusion, this information security study proposes to transfer core business process, to build information security new applications, to run a scalable, available, secure environment, and to leverage firms’ knowledge and information. 資訊安全大型企業垃圾郵件駭客、病毒或蠕蟲國際標準組織17799 Information security spam hacker, virus or worm,

Search results