Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

Fördelar med ISO 27001. En studie utifrån Blooms reviderade taxonomi av två sjukhus arbete med informationssäkerhet

Brodin, Patric, Le Guellaff, Laure

January 2013

Krav på företag och organisationer att införa och certifiera ledningssystem enligt SS-ISO/IEC 27001:2006 ökar. Myndigheter och kunder vill försäkra sig om att deras leverantörer och samarbetspartner har en säker hantering av information. För att kunna beskriva och jämföra skillnaderna mellan organisationernas sätt att arbeta med informationssäkerhet på en generell nivå utifrån standarden SS-ISO/IEC 27001:2006 åtgärdsmål, analyseras i denna uppsats fördelarna med att ha ett certifierad ledningssystem för informationssäkerhet. Studien identifierar, analyserar och klarlägger de informationssäkerhetsmässiga skillnader som ett sjukhus som är certifierat enligt SS-ISO/IEC 27001:2006 uppnår, i jämförelse med ett sjukhus som inte är certifierat enligt denna standard. Studien utgår ifrån begreppet informationssäkerhet och genomförs med hjälp av Design Science metoden där en artefakt skapats utifrån Blooms reviderade taxonomi och med hjälp av semi-strukturerade intervjuer som är en kvalitativ metod. I arbetet används en klassificeringsmetod och det empiriska materialet dvs. intervjuresultatet analyseras med hjälp av Blooms reviderade taxonomi. Resultatet visar att båda sjukhusen nyttjar standarden och att deras informationssäkerhetspolicy blir tilldelad av respektive Landsting. Onekligen är ändå att Hallands sjukhus Varberg som är certifierad enligt standarden SS-ISO/IEC 27001:2006, har en högre beredskap och aktivitetsnivå för denna typ av frågor rörande informationssäkerhetsarbete. Det visas bland annat genom att Halland Varberg sjukhus genomgående uppfyller fler åtgärdsmål, har fler definierade procedurer för sitt arbetssätt samt en utökad förståelse för uppsatta krav. De etiska och samhälleliga konsekvenserna för studiens slutsatser är bland annat att kommentarer kring intervjusvaren inte kan kopplas till en enskild individ utan till själva organisationen. Det visar i studien att det finns sårbarheter inom båda organisationerna, som driftavbrott i journalsystem som kan leda till konsekvenser för samhället. Genom att belysa beskrivningen om arbetet med fördelar av en certifiering enligt SS-ISO/IEC 27001:2006 utifrån ett informationssäkerhetsperspektiv och att det finns aktuella krav från Socialstyrelsen att alla vårdgivare ska ha ett ledningssystem som ska innehålla en dokumenterad informationssäkerhetspolicy, kan uppsatsen bidra till att besvara frågan om det är värt att certifiera sig. Bland de fördelar som framkom genom studien var exempelvis minskade antal incidenter, bättre total överblick och bättre förebyggande arbete. / Requirements for companies and organizations to implement and certify management systems in accordance with SS-ISO/IEC 27001: 2006 increase. Authorities and customers need to ensure that their suppliers and partners have a safe managing of the information. In order to describe and compare differences between the organizations way of working with information on a broad level of the standard SS-ISO/IEC 27001:2006 control objectives, analyzed this study the advantages of having a certified information security management system. The study identifies, analyzes and clarifies the information security-related differences in a hospital that is certified according to SS-ISO/IEC 27001: 2006, in comparison with a hospital that is not certified according to this standard. The study is based on the concept of information security and is carrying through by using Design Science method, in which an artifact is created from Bloom's revised taxonomy. Semi-structured interview is using to collect data. The work also used as a classification method and empirical material i.e. interview results analyzed by using Bloom's revised taxonomy. The results of the study show that both hospitals are working towards the standard and that their information security policy is assigned by the respective County Councils. The ethical and social implications of the study’s conclusions are that, among other things, that the comments about the interview responses cannot be attached to a single individual but to the organization. The study shows that there are vulnerabilities in both organizations, such as downtime of the medical journal system, which can result in consequences for society. Although there are current requirements from the Swedish National Board of Health and Welfare (Socialstyrelsen) to all caregivers: they shall have a management system which should include a documented information security policy, the study help to answer the question whether it is worthwhile to certify themselves. And by highlighting the description about work with a certification according to SS-ISO/IEC 27001: 2006 benefits from an information security perspective, organization can acquire a systematic information security work.

Information Security

Hospital

Information

Standards

ISO/IEC 27001

Policy

Taxonomy

Certification

Informationssäkerhet

Sjukhus

Information

Standard

SS-ISO/IEC 27001:2006

Policy

Taxonomi

Certifiering

Computer Sciences

Datavetenskap (datalogi)

The Backup-Plan : En kvantitativ studie om säkerhetskopiering bland studenter på Uppsala universitet

Bennich-Björkman, Oscar, Nyström, Anton

January 2016

Få personer säkerhetskopierar tillräckligt ofta, trots att de riskerar att förlora viktiga filer. Vad beror det på? Denna uppsats har genom en kvantitativ undersökning försökt klarlägga vilka faktorer som har störst påverkan på detta beteende och om det finns ett samband mellan dessa. Datainsamlingen skedde genom en enkätundersökning, med över 300 svar från olika studenter på Uppsala universitet. Resultaten analyseras med hjälp av det teoretiska ramverket “Protection Motivation Theory” (PMT) och jämförs sedan med liknande forskning. Resultaten visar att lättja och glömska är de två faktorer som respondenterna själva anser har störst påverkan. Utöver detta har även det studieprogram vilket studenten går på betydelse. Resultaten visar också att hur studenterna bedömer sannolikheten för dataförlust och graden av de problem som kan uppstå vid en dataförlust båda har ett positivt samband med hur ofta säkerhetskopiering utförs. Av dessa har uppskattat problem störst påverkan. Detta resultat skiljer sig från vad delar av tidigare forskningen har visat, men ligger i linje med vad PMT säger om detta beteende. / Few people backup their files frequently enough, even though they risk losing important files. Why is this? This paper has through a quantitative survey attempted to elucidate which factors have the biggest impact on this behavior and if there is a correlation between these. The data was collected using a questionnaire which got over 300 answers from students at Uppsala University. The results were analyzed using the theoretical framework “Protection Motivation Theory” (PMT) and was then compared to similar research. The results show that laziness and forgetfulness are the two biggest factors that the respondents themselves say have the biggest impact on their behavior. In addition to this the kind of program the student is attending also has an effect. The results show that the assessed probability of losing data and the severity of the problem of losing data have a positive correlation with how often backup is done, where assessed problem has the biggest impact. These results differ from what some of the earlier research has shown, but is in line with what PMT says about this behavior.

Backup

information security

Protection Motivation Theory

PMT

data loss

Säkerhetskopiering

backup

informationssäkerhet

Protection Motivation Theory

PMT

dataförlust

Avskräckning i cyberdomänen? : en studie av svensk strategi

Enoksson, Johan

January 2019

There are frequent reports of cyber intrusions in everyday media. Attacks in the cyber domain have become commonplace and even USA with the world’s largest military falls short in deterring all hostile actors from conducting actions such as espionage and theft in the cyber domain. Considering the hardship of a superpower like the USA of deterring hostile action in the cyber domain, the question arose of how a small state such as Sweden aspire to solve this problem. The aim of this thesis was to describe Swedish strategy by using an analytical framework based upon N.J. Ryan’s theory of successful cyber deterrence. The results show that only deterrence by association can be clearly identified within current Swedish strategy. The current action plan for information and cyber security does not contain processes that changes this fact. Försvarsberedningens rapport om motståndskraft expresses that norms exist for the cyber domain and work continues to develop them further. This entails that the components of deterrence by norms and taboos is part of Swedish strategy, although not clearly expressed in the current version. To deter by punishment or denial, actions are needed to provide credibility. There are no clear threats of retaliation in the strategy, nor is it clearly expressed what capabilities Sweden possesses to act defensively or offensively within the cyber domain.

Strategi

avskräckning

cyber

cybersäkerhet

informationssäkerhet

Informationssäkerhet : Interna och externa hot i mindre företag / Information security : Internal and external threats in smaller business

Petersson, Alexander

January 2019

Informationssäkerhet är en viktig aspekt i dagens samhälle då information i alla former är väsentligt för företag att förvalta och använda för att driva verksamheten vidare. Inom informationssäkerhet existerar det interna och externa hot. Syftet med denna rapport är att undersöka hur mindre företag upplever interna respektive externa informationssäkerhetshot samt hur de hanterar dem. Frågeställningen till studien presenteras nedan. Till vilken grad påverkas mindre företag av informationssäkerhetshot? Den primära frågeställningen är uppdelad i två frågor som presenteras nedan Till vilken grad upplever mindre företag interna hot? Till vilken grad upplever mindre företag externa hot? I studien beskrivs shadow security, brist på utbildning och stöld på informationstillgångar som tre största interna informationssäkerhetshot. Ransomware, phishing och bring your own devices beskrivs som tre av de största externa informationssäkerhetshoten. Detta resultat förväntas att kunna ge kunskap och bidra till identifieringen och försåtelsen av olika informationssäkerhetshot mot mindre företag. De respondenterna som har deltagit i semistrukturerade intervjuerna under denna studie hade alla någon slags roll som IT-ansvarig på respektive företag. Alla intervjuer genomfördes med företag från Hälsingland. / Information security is an important aspect of today's society as information in all forms is essential for companies to manage and use to drive the business further. Within information security, internal and external threats are two aspects that exist. The purpose of this report is to examine how smaller companies experience internal and external information security threats and how they manage these threats. The question to the study is presented below.  To what extent are smaller companies affected by information security threats?  The primary question is divided into two questions presented below To what extent do smaller companies experience internal threats? To what extent do smaller companies experience external threats? The study describes shadow security, lack of education and theft of information assets as three largest internal information security threats. Ransomware, phishing and bring your own devices are described as three of the largest external information security threats. This result is expected to provide knowledge and contribute to the identification and neglect of various information security threats to smaller companies. The respondents who have participated in the semi-structured interviews during this study all had some sort of role as IT manager at each company. All interviews were done with respondents with companies from Hälsingland.

Information security

internal threats

small businesses

Informationssäkerhet

interna hot

externa hot

mindre företag

Information Systems

Vem vet var du är? : En kvalitativ studie om användares medvetenhet om säkerhetsrisker med platsdelning

Johansson, Kajsa, Wenkler, Rebecka

January 2019

Platsdelning finns i många olika sociala medier idag och har blivit en populär funktion. Platsdelning kan vara väldigt användbart i olika situationer när det kommer till att lokalisera personer, men många är omedvetna om de säkerhetsrisker som kan komma till följd av platsdelning. Syftet med studien är att uppmärksamma de säkerhetsrisker som finns i samband med platsdelning och undersöka hur medvetna användare är om dessa. Fokus ligger på de tre mest använda sociala medierna i Sverige; Facebook, Instagram och Snapchat. Studien bygger på ett antal semistrukturerade intervjuer där frågor om användandet av sociala medier, platsdelning och kunskap om säkerhetsrisker resulterar i möjligheten att svara på studiens forskningsfråga. Analysen gjordes utifrån ett teoretiskt ramverk sammansatt av flera grenar inom informationssäkerhet, bland annat C.I.A-triangeln. Informanterna diskuterade problem såsom förföljelse och möjlighet till inbrott när det syntes att man inte var hemma. Slutsatser som kan dras av studien är att flera av informanterna inte såg platsdelning som en säkerhetsrisk, en del för att de inte ansåg sig själva tillräckligt viktiga för att det skulle bli ett hot och andra för att de inte hade kunskapen om vilka säkerhetsrisker som kunde uppstå.

Informationssäkerhet

säkerhetsrisk

C.I.A-triangel

sociala medier

platsdelning

Information Systems, Social aspects

Hur datakommunikationssäkerheten påverkas vid införandet av en meddelandeförmedlare

Gaupp, Erik, Jonsson, Jan

January 2008

<p>Validerat; 20101217 (root)</p>

Social Behaviour Law

publish/subscribe

message broker

MOM

ESB

Samhälls-

beteendevetenskap

juridik

kryptering

kommunikation

säkerhet

applikationsintegrering

informationssäkerhet

MOM

ESB

IT-säkerhetsevaluering i ackrediteringssyfte inom det svenska försvaret. / IT Security Evaluation for Accreditation purpose in the Swedish defence.

Andersson, Magnus

January 2004

<p>Detta examensarbete har genomförts på uppdrag av Försvarets Materielverk (FMV). </p><p>Det påstås att evaluering av komplexa/sammansatta system är svårt, om inte omöjligt. Common Criteria (CC) är en ISO/IEC-standard för evaluering av produkter och system. Även Information Technology Security Evaluation Criteria (ITSEC) används för samma ändamål. Jag har undersökt vad som är möjligt och denna uppsats beskriver alternativa evalueringslösningar med hjälp av CC/ITSEC, dock primärt enligt CC; där fokus hela tiden vilar på ackreditering av system och produkter inom det svenska försvaret. </p><p>Metoden som används bygger på kvalitativ och utredande analys vilken baseras på empirisk kunskap inhämtad från nyckelaktörer på marknaden samt en teoretisk referensram vilken utgörs av nyckelstandarder och för arbetet/uppsatsen relevanta dokument. </p><p>Jag har undersökt SYSn och FTA vilka är två ytterst intressanta lösningar för två olika typer av evalueringssituationer vid informell evaluering. Båda lösningarna fokuserar på systemevalueringar men produktevalueringar stöds även de. SYSn och FTA är framtagna av UK:s myndighet CESG vid GCHQ. </p><p>SYSn är en mer pragmatisk, kostnadseffektiv, snabb (med avseende på total evalueringstid) och flexibel lösning än existerande formella CCoch ITSEC-lösningar. Samtidigt bygger SYSn på CEM vilket gör att SYSn åtnjuter många av CC:s och CEM:s fördelar med avseende på bland annat återanvändbarhet och god struktur. SYSn erbjuder motsvarande assurans som CC: s EAL (SYS2 ≈ EAL2, SYS3 ≈ EAL3, SYS4 ≈EAL4).. Spårbarhet gällande utfall, testprocedurer, använd metodik etc. bibehålls. </p><p>FTA å andra sidan är ett avsevärt snabbare evalueringsinstrument där avkall på återanvändbarhet, struktur, dokumentation och förtroende görs. FTA är en lösning vilken fokuserar på best effort och ger inga direkta garantier om assuransnivåer etc. När det är ont om tid och inget certifikat eller ett formellt utlåtande för evalueringsresultatet efterfrågas är FTA en tilltalande lösning. Evaluering genomförs i enlighet med Fast Track Assessment Methodology (FTAM).</p>

Technology

System

Common Criteria

ITSEC

Evaluering

Certifiering

Ackreditering

IT-Säkerhet

Informationssäkerhet

SYSn

FTA

CCRA

SOGIS-MRA

FMV

TEKNIKVETENSKAP

TECHNOLOGY

TEKNIKVETENSKAP

Riskhanteringens utmaning : En studie som identifierar svenska organisationers riskhantering avseende informationssäkerhet samt dess prioritering. / The challenge of Risk Management : A study on Risk Management regarding information security in Swedish organizations and their priorities

Tehrani, Amir, Siwetz, Clara

January 2007

<p>Background: Risk Management plays an important part of the enterprises strategic business activity. Efficient Risk Management will secure the businesses survival, assets and creates market advantages. The interest of information security has consequently gained in Swedish corporations. Corporations have realized the importance of the information which is stored in the IT systems. IT is the tool for businesses future progress and growth and therefore a source of risks. For managing these risks standards and frameworks are needed. To what extent are information security standards and frameworks used in Swedish organizations? Are information security integrated with operational Risk Management?</p><p>Purpose: The purpose of this study is to identify the Risk Management regarding information security in the studied organizations and to recognize the priority of information security.</p><p>Method: The main part of this study is based on case studies including four Swedish organizations, with the purpose to identify the Risk Management regarding information security in these organizations. The study is also added with a complementary survey carried out on Large Cap corporations on the Nordic exchange. The later survey will create a more general apprehension.</p><p>Conclusions: Findings shows that the Swedish organizations have realized the importance of standards and frameworks and the accompanying benefits. The main elements for using standards and frameworks are - better control, identification of business opportunities and gained security. The findings also suggested that the organizations should invest more resources in integrating information security with Risk Management and on the executive management involvement.</p>

Risk Management

Information Security

Operational risks

Standards

Frameworks & Regulations

Riskhantering

Informationssäkerhet

Operationella risker

Standarder

Ramverk

Regelverk.

Business studies

Företagsekonomi