Academic literature on the topic 'Ledningssystem för informationssäkerhet'

Denna studie fokuserar på och ska utreda informationssäkerhet hos små och medelstora företag samt vilka faktorer som påverkar dem. Hot och risker med avseende till information på företag har ökat de senaste åren vilket resulterar i att företagen måste öka sin säkerhet för att eliminera dessa. Uppsatsen visar att de flesta undersökta små och medelstora företag inte arbetar aktivt och systematiskt med informationssäkerhet. För att utreda detta ämne har kvalitativa intervjuer genomförts med ansvarig för informationssäkerhet på sex olika fallföretag. Intervjufrågorna utgår från tre olika kontexter som ett företag kan delas in i. Den tekniska-, organisatoriska- och externa kontexten som i grunden kommer från TOE ramverket och anpassades efter uppsatsens behov och ämnet informationssäkerhet. IT-expertis, krav från externa aktörer och styrning av informationssäkerhet identifierades som faktorer på de sex undersökta fallföretagen och anses vara avgörande för deras informationssäkerhet.

This paper aims to find out how to implement an information security management (ISMS) system that is based on ISO/IEC 27001-standard into a small organization with high employee turnover. The standard employs the PDCA-method as a course of action for implementing the standard. The reason for implementing such a system is to introduce information security to the organization and to maintain it despite the changes in management. The paper based it’s survey on a case study of a student nation in Uppsala, Sweden. Data was gathered from documents, organization charts, direct observation and by studying physical artifacts. The result of this study showed that it is possible to base an ISMS on the ISO/IEC 27001-standard and that the PDCA-method of implementing the system works if careful adaptation of the two is applied during its establishment into the organization. This paper concludes that certain aspects has to be considered when using the standard and PDCA-method when working with these kinds of organizations. The leadership has to play an active role in maintaining the work related to information security in order to enable continuity in a high employee turnover-organization. Organization members working on a non-profit basis can enable a higher level of security policy compliance since the relationship between employee and the organization stems from a voluntary basis. Build the ISMS so that it focuses on the core operations of the organization. If the ISMS is made to comprehensive there is a risk of it becoming too big for the organization to manage. There should be no doubts regarding who is responsible for the ISMS. The continuity of the system depends on well-established means of knowledge transfer from the departing responsibility holder to his or her successor.

The ISO standard ISO/IEC 17799/SS-627799-2 is a guidance for organizations to realize their information security goals. In spite of this standard, studies show flaws regarding information security in organizations. In particular flaws regarding overall view, knowledge and clear roles and responsibilities have been observed. The ISIT (Information Security Integrated Three level) model and its guidelines, developed in this thesis, help organizations to identify the required processes and procedures as well as the logical process flow. The thesis is based on theoretical studies and a case study within a multinational company. The results of the case study show great lacks in defining roles and assigning responsibilities, but also in overall view and knowledge regarding processes and the process flow. The thesis develops a model to facilitate an organization’s initiation of the ISO standard and to help solving the identified flaws. The ISIT model is based on the ISO standard, but expands the PDCA model and integrates it with the controlling documents related to information security management. The expansion of the PDCA model gives a clearer flow, where all the processes related to a management system are included. This enables clarity and faster overall view regarding the information security organization. The integration of the controlling documents means that the processes can be divided into procedures at different levels of the organization. This provides a possible solution to the definition of roles and to the assignment of responsibilities. Guidelines on the identification of processes and roles can not be found in the ISO standard. Therefor the ISIT model should be used as a complement to the ISO standard and will help organizations to reach their information security goals.

Vid upprepade tillfällen har Integritetsskyddsmyndighetens tillsyn funnit brister i vårdgivares efterlevnad av juridiska krav som avser dokumenterad behörighets-styrning och behörighetsgrundande behovs- och riskanalys. Dessutom har tillsyn identifierat fall där hälso- och sjukvårdspersonal haft mer behörigheter än vad arbetsuppgiften kräver, vilket medför att patienter saknar det integritetsskydd de har rätt till. Bristerna kan tyda på en osäkerhet hos vårdgivare avseende hur dessa juridiska krav bör tillämpas i praktiken. Därför är studiens syfte att sammanfatta hur regionerna beskriver tillåten åtkomst till patientuppgifter och behörighetsgrundande behovs- och riskanalys i sina styrande dokument. Studien ska dessutom lyfta fram förslag på hur en behörighetsgrundande behovs- och riskanalys kan genomföras och dokumenteras. Arbetet har bedrivits som en deskriptiv kvalitativ studie med en induktiv ansats, vilken utifrån empiririska data ska besvara studiens frågeställningar. De empiriska data som insamlats avser textuella data i form av styrande dokument som erhållit från 17 av de 21 regionerna genom begäran om allmän handling. För dataanalys av dessa styrande dokument har en konventionell innehållsanalys valt som metod, som på manifest nivå sammanställt innehållet i dessa styrande dokument. Resultatet diskuteras därefter utifrån Integritetsskyddsmyndighetens vägledning samt Da Veiga och Eloffs ramverk för styrning av informationssäkerhet. Resultatet visar både likheter och skillnader i regionernas styrande dokument, exempelvis återfinns beskrivning om tillåten och otillåten åtkomst till patient-uppgifter hos samtliga regioner. Den största likheten avser dock beskrivning av verksamhetschefens ansvar för medarbetarnas behörigheter samt behovs- och riskanalys, där det sista skiljer sig markant från Integritetsskyddsmyndighetens vägledning vilken anger att behovs- och riskanalys ska ske på en strategisk nivå. Resultatet visar dessutom att det inte finns någon generell metod hos regionerna som kan rekommenderas för genomförande och dokumentation av den behörighets-grundande behovs- och riskanalysen. Däremot kan Integritetsskyddsmyndighetens vägledning utgöra ett stöd vid genomförandet av en strategisk behovs- och riskanalys. Slutsatsen är att en behörighetspolicy, tillsammans med en strategisk behovs- och riskanalys, skulle kunna ge stöd vid utformning av en ändamålsenlig och enhetlig behörighetsstruktur. Dessutom kan behörighetspolicyn, tillsammans med resultatet av den strategiska behovs- och riskanalysen, kunna utgöra underlag för krav vid upphandling, utveckling och anpassning av vårdinformationssystem. Genom att kombinera behörighetspolicy och en strategisk analys skulle vårdgivaren kunna uppnå en behovs- och riskbaserad behörighetsstyrning som i slutänden leder till trygghet för patienten utifrån både ett patientsäkerhets- och integritetsperspektiv.

Samhället idag är mer uppkopplat och hanterar större mängder information än tidigare. Informationen hanteras i större omfattning av IT-system där kraven på säker hantering av information blir allt större. För att hantera informationssäkerhet kan organisationer implementera ett ledningssystem för informationssäkerhet (LIS). Det tar både tid och resurser att designa och implementera ett LIS. För att denna investering ska vara lönsam bör den också ge ett mervärde för organisationer. För att standardisera och specificera uppbyggnaden av LIS har ISO/IEC 27001 (standard för LIS) utvecklats och implementerats av organisationer världen över. Syftet med denna studie är att identifiera vilka förändringar som en ISO/IEC 27001-certifiering leder till hos små organisationer i Sverige. En intervjustudie har utförts med en semistrukturerad intervju som datainsamlingsmetod. Utifrån den insamlade empirin har sex kategorier identifierats och beskrivs tematiskt utifrån varje informant. Studien visar att organisationer får en bättre process och kontroll över informationssäkerhet och en stärkt informationssäkerhetskultur. Utöver detta uppges informationssäkerhet ha förbättrats bland organisationer genom olika säkerhetsåtgärder. Dessutom har kommunikationen med kunder förenklats, när informationssäkerhet diskuteras. Studien undersöker ISO/IEC 27001-certifierings påverkan hos flera organisationer, för att få en diversitet på den insamlade empirin. Detta genomfördes med en informant per organisation, med överblick över både organisationen och certifieringen. Studien undersöker organisationer som redan är certifierade, då organisationen ska ha implementerat ISO/IEC 27001-standarden. Varken certifieringsprocessen, säkerhetsåtgärder, implementationen av eller tillämpningen av ledningssystemet har undersökts i denna studie.
Society today is more connected and handles more information than ever before. The information is handled to a greater extent by IT systems, where the requirements for secure information management have increased. To manage this increase in information flow, organization can implement an information security management system (ISMS). It takes both time and resources to design and implement an ISMS. For this investment to be profitable, it should also provide additional value for companies. In order to standardize and specify the structure of ISMS, ISO/IEC 27001 (Standard for ISMS) has been developed and implemented by companies all over the world. The purpose of this study is to identify the changes that an ISO/IEC 27001-certification leads to for small organisations in Sweden. An interview study has been conducted and semi-structured interviews has been used for data collection. Based on the collected empirical evidence, six categories have been identified and described thematically for each informant. The study shows that organisations get a better process and control over information security and a strengthened information security culture. In addition, information security is said to have improved among organisations through various security measures. In addition communications with customers have been simplified, whenever information security is discussed. The study examines the impact of ISO/IEC 27001-certification on four organisations, in order to ensure diversity of the empirical evidence collected. This was done with one informant per organisation, with an overview of both the organisation and the certification. The study examines organisations that are already certified, since the organisation need to have implemented the ISO/IEC 27001 standard. Neither the certification process, the security measures, the implementation nor the application of the management system have been investigated in this study.