1 |
Standardiserad informationssäkerhet inom systemutveckling : En pragmatisk metod för uppehållande av en hög standard med ramverket ISO 27000 / Standardised Information Security in System Development : A Pragmatic Method for Maintaining a Good Standard with the ISO 27000 FrameworkEriksson, Carl-Henrik January 2016 (has links)
In today’s online world it is important to protect your organization’s valuable information and assets. Information can be stolen or destroyed in many different ways, and it needs to be dealt with not only on a technical level, but also on a management level. However, the current methods are not very intuitive and require a lot of familiarity with information security management. This report explores how planning of information security within an organization can instead be accomplished in a simple and pragmatic manner, without discouraging the user with too much information and making it too complicated. This is done by examining the requirements and controls from the ISO 27000 framework, and with those in regard creating a method that’s more useful, intuitive, and easy to follow.
|
2 |
Kvalitetsförbättring av informaionsflödet : en studie på Försäkringskassans enhet sjuk- och aktivitetsersättning utlandHammerin, Emma, Hedman, Linda January 2010 (has links)
Försäkringskassans enhet sjuk- och aktivitetsersättning utland saknar ett systematiskt arbetssätt för sortering och arkivering av information vilket krävs för skapa återsökbarhet. Likaså hindras arbetet med ständiga förbättringar av att ingen återkoppling inkommer från kunderna, därav kan kundnöjdhet inte mätas och inga förbättringar ske. Information och kommunikation är två områden som är tätt sammankopplande. Enkelriktad kommunikation är information, både kommunikation och information kan förmedlas verbal eller skriftligt. Med utgångspunkt i ovan nämnda resonemang har vi fastställt att de två förbättringsområdena; informationsflödet på enheten och kommunikation med intressenterna, gäller information. Syftet med examensarbetet har varit att åstadkomma förbättringar på Försäkringskassans enhet sjuk- och aktivitetsersättning utland ur ett medarbetarperspektiv. Arbetet har resulterat i att förbättringsområdena har analyserats och åtgärder har tagits fram för att förbättra nuläget. Åtgärdsplanerna innefattar teorier om hur implementeringen av åtgärderna ska genomföras för att lyckas. Åtgärdsplanen sammanfattas slutligen i en illustration som innefattar flera sammanlänkade teorier. Grunden i åtgärdsplanen är PDSA- modellen vilken delat in förändringsarbetet i de fyra faserna; planera, genomföra, studera och lär vilket belyser de ”hårda” delarna, konkreta arbetsmoment, av förändringen. Ledningssystemet för informationssäkerhet (ISO 27000) baseras också på de fyra faserna och innefattar krav vilka ligger till grund för förbättringsarbetet. Utöver dessa modeller ingår Kotters (1996) åtta steg för en lyckad förändring vilken omfattar de ”mjuka” delarna såsom ledarskap och delaktighet. Resultatet visar att ett samarbete med de utländska myndigheterna skulle leda till att enheten på ett systematiskt sätt kan få återkoppling från kunderna, vilket medför möjligheter för ständiga förbättringar. Genom att skapa rutiner och öka dokumentationen för informationsflödet skulle arbetet förenklas för medarbetarna och mindre tid gå åt till att leta efter information. Likaså kommer arbetsbelastningen att minska då ansvar fördelas på medarbetarna och fokus kan istället läggas på ärendehanteringen. Det finns då möjlighet till att handläggningstiderna kommer att minska vilket också leder till ökad kundnöjdhet. / Försäkringskassan is a part of the Swedish social security system and the project took place in the unit of sickness- and activity compensation for people who lives abroad. The unit doesn’t have a systematic way of managing and saving information. This is needed to simplify usage of information in order to perform correct ways of business. The work of constant improvements is complicated by the fact that no feedback is collected from the customers, and therefore customer satisfaction cannot be measured or improved. Information and communication are related to each other, one-way communication is information, which can be verbal or written. According to this discussion we have set both areas of improvements, flow of information and communication with the customers, to be information. The purpose of the project has been to accomplish improvements at the unit from the perspective of the co-workers. Today’s situation has been analysed and actions for improvement have been developed. The proposed actions include theories of how improvements are to be introduced to the unit to be successful. This is illustrated in a model proposed by the authors linking several theories. The cycle of Plan, Do, Study and Act is the foundation of the model and is complemented by ISO 27000. Parts, such as leadership, participation and Kotter’s eight state process are also included. The result shows that collaboration with the foreign authority would lead to a systematic collection of customer’s feedback, which could be transformed to constant improvements. Through creating routines and providing additional documentation for the flow of information, the work should be simpliefied. The work load should also be reduced since responsibility is shared among the co- workers and focus can be on the cases. Possibly the time for managing a case could be shortened which also would increase customer satisfaction.
|
3 |
Metoda hodnocení ServiceDesku dle ITILu a dalších metodik / The Method of Service Desk assessment according to ITIL and other methodologiesVrchotová, Olga January 2010 (has links)
The goal of this diploma thesis is to create a methodology for rapid assessment of Service Desk function. The thesis comprises three logical units. The introductory part describes a theoretical framework of methodologies used for general functions of IT services. As a part of this section, the case study of delivery of IT services in company Pražská energetika a.s. follows. In the second part, the diploma thesis describes a methodology based on introductory analysis for evaluation of Service Desk in certain aspects of its operation including related issues of lifecycle of providing IT services. The final part of the thesis provides a case study which is based on application of the proposed methodology on several selected companies.
|
4 |
Management informační bezpečnosti pro řízení přístupů ve firmě / Management of Information Security for Access Control in a CompanyBenedikti, Tomáš January 2014 (has links)
This thesis deals with the methodology of system approach to access control and the application of this methodology into information security of companies. The main focus is a methodological guide for access control that is consistent with implementation of ISMS in the selected company.
|
5 |
Kommunal informationssäkerhet : En undersökning av informationssäkerhet inom kommunal IT-styrning / How municipalities work with information security focusing on the use of security standardsEklund, Jonathan, Renner, Robin January 2020 (has links)
This study examined how municipalities work with information security focusing on the use of security standards. Data was collected from three different municipalities differentiating in population, for the purpose of determining whether financial resources was a factor to successful information security within the organization. The study was based on a theoretical framework that consisted of ISO 27000, The General Data Protection Regulation, as well as the NIS directive. To examine the municipalities information security and whether security standards were used data was collected via interviews. In these interviews the informants were asked questions created in a semi-structured way to provide them with context while still being able to answer freely. This data was later to be analysed and categorised into themes where it could be interpreted. These themes within information security, consisted of continuity, risk assessment, policies, regulations, security standards, budget, and resources. Through analysis, the answers were compared as well as put into the context of what had been discovered in prior research within the field. It later points towards certain improvements in some respects as well as no further improvements in other areas. The study could affirm prior results from earlier research, and that municipalities still had essential deficiencies in their information security such as not working systematically with information security at an acceptable level. However, there were some improvements compared to prior research among municipalities and there were clear indications that there had been put a larger focus on information security. The informants also affirmed that regulations such as the General Data Protection Regulation had affected the municipalities executives’ approach towards information security within the organization. / I studien undersöks kommuners arbete med informationssäkerhet fokuserat på användandet av säkerhetsstandarder. Data samlades in från tre olika kommuner. Urvalet av kommuner baserades på population för att identifiera om ekonomi var en faktor till framgångsrik informationssäkerhet inom organisationen. Studien baserades på ett teoretiskt ramverk bestående av ISO 27000, dataskyddsförordningen tillika NIS-direktivet. För att undersöka informationssäkerheten bland tre kommuner och huruvida säkerhetsstandarder användes gjordes en datainsamling via intervjuer. Intervjuerna var semi-strukturerade så att informanterna fick en tydlig kontext och möjligheten att svara fritt. Insamlade data analyserades och kategoriserades in i teman, så det kunde tolkas. De informationssäkerhetstemana bestod av kontinuitet, riskbedömning, policys, lagar, säkerhetsstandarder, budget och resurser. Svaren analyserades och jämfördes även mot tidigare forskning i ämnet. Vad som kunde utläsas var att utveckling visades i vissa aspekter medan mindre inom andra. Studien kunde bekräfta resultat från tidigare studier, att kommuner fortfarande uppvisade brister i deras arbete informationssäkerhet. Samband mellan kommunerna var brister inom det systematiska arbetet med informationssäkerhet. Förbättringar hade dock gjorts jämfört med tidigare forskning således fanns tydliga indikationer på att informationssäkerhet uppmärksammats. Informanterna påpekade också att lagar som dataskyddsförordning hade påverkat kommunernas syn på informationssäkerhet inom organisationen.
|
6 |
Efterlevnad av policy och informationssäkerhetsarbete : En fallstudie om informationssäkerhetspolicys på småföretag inom vårdbranschenRamstedt, Moa, Saxunger, Viktor January 2022 (has links)
This thesis examines the information security awareness and compliance to related policies by employees at small companies, and to which degree the company’s policies fulfil requirements according to standards for security policies. A case study was carried out at a small healthcare company by collecting and analysing information security related documents and by conducting interviews with employees. The assessment of the company’s policy documents was made by comparing them to policy requirements established by the ISO 27000 standards. The information security awareness and policy compliance at the company was graded using an information security maturity model with a scale of 0 to 5. The highest degree of policy compliance was found in rules regarding anonymising sensitive information in text-based communication and deleting it when it is no longer needed. Compliance to mail and password routines was identified as the most neglected part of analysed policy documents. The awareness and policy compliance at the company conforms to level 2 of the maturity model. As for the policy documents, they partly or fully fulfilled a majority of the ISO requirements included in the comparison. However, 7 out of 17 requirements were missing completely in the policy documents, and only two out of eight requirement categories were fully fulfilled. The requirement category that the policy documents fulfilled to the highest degree concerned protecting sensitive information during transfer, while the biggest shortage concerned requirements on having documentation establishing a regular control systems and education on information security and policies within the organisation.
|
7 |
Bezpečnost podnikové informatiky v souvislosti s ITIL / Information Security in the context of ITILKorous, Petr January 2011 (has links)
The diploma thesis discusses information security management in the context of ITIL framework. In the introductory part is explained the concept of information security, its importance and main goals. In subsequent chapters, the work aims to explore methodologies, frameworks and standards related to information security and internal control. Selected frameworks and models and described and compared with each other based on different criteria. The comparison is also one of the benefits of the work because similar topics which compare different models of internal control and information security are quite rare in the literature. The practical part of the thesis forms new methodology on basis of researched models and standards, including ISO 27000, ITIL and COBIT. This methodology provides a relatively simple way to evaluate the level of information security in an organization. It uses process capability model which is applied on selected company. Another benefit of the thesis is the developed methodology and its demonstration on a selected company.
|
8 |
IT-säkerhet på ett IT-konsultbolag i Uppsala : Medarbetares medvetenhet och acceptans gällande ledningssystemet för informationssäkerhetMagnusson, Jeanette, Lindefelt, Ellen January 2023 (has links)
Digitaliseringen av det svenska samhället har framskridit i snabb takt där faktorer som Covid-19 pandemin har bidragit till ett ökat användande av digitala lösningar. Med denna digitalisering följer också en ökning i potentiella IT-säkerhetshot inte minst gentemot företag. Ett sätt för företag att skydda sig mot hot är att införa informationssäkerhetspolicys och ett ledningssystem för informationssäkerhet (LIS). En viktig del i upprätthållandet av informationssäkerhetspolicys är att utbilda medarbetare i dess innehåll, trots detta är människan fortsatt ett stort hot mot IT-säkerheten, antingen genom okunnighet eller ovilja att följa gällande riktlinjer.Denna studie ämnar att, genom en fallstudie på ett IT-konsultbolag i Uppsala, undersöka medarbetares syn på deras medvetenhet och acceptans gällande de IT-säkerhetsåtgärder som finns beskrivna i företagets ledningssystem för informationssäkerhet. Som teoretisk grund för studien ligger en litteraturöversikt inom områdena; Människan som sårbarhet, Faktorer som påverkar medarbetares benägenhet att följa IT-säkerhetsåtgärder, Medvetenhetens betydelse, samt ISO 27001 - standarden för LIS. Kvalitativa data har samlats in genom sex semistrukturerade intervjuer. Dessa data visar på att det inte finns någon samsyn hos medarbetare gällande hur de ser på sin medvetenhet. Några medarbetare uttryckte att de inte kan finna de policydokument som gäller och att de inte heller fått tillräcklig utbildning, medans andra ansåg att policydokument var lätta att finna och att tillräcklig utbildning erbjudits. Det som framkom i studien var att ingen hade koll på allt som finns i ledningssystemet, men att flertalet respondenter agerar utifrån vad de benämner som sitt egna sunda förnuft. Gällande acceptansen framkommer att medarbetare accepterar åtgärderna i den utsträckning de känner till dem.
|
9 |
Systémové řešení informační bezpečnosti podniku / System Approach to Company Information SecurityKoutný, Miroslav January 2012 (has links)
This thesis uses system approach methodology to information security. It performs analysis of the company, and based on the result, creates security manual for ISMS implementation.
|
10 |
Zavedení managementu informační bezpečnosti v malém podniku / The Implementation of Information Security Management System in the Small CompanyRadvanský, Martin January 2011 (has links)
This diploma thesis deals with methods of management of information security in the small company. The thesis is divided into two main parts. The first part of this thesis is focused on theoretical aspects of information security and contains description of standards ČSN ISO/IEC 27000:2006. The practical part of this work is about the project of implementation of the information security management system in the small company. The implementation is divided into three separate parts with the first part of implementation being described in detail.
|
Page generated in 0.0224 seconds