Hagfræði upplýsingaöryggis fyrst og fremst á rökrænni hugsun, vilj- andi tilurð og byltingarkenndri innleið- ingu. Innihaldsvíddin lýsir sjónarmiðum og afurð stefnumótunarinnar. Ahættumat byggir á markaðssjónarmiði og tekur tillit til sveigjanleika, en öryggisráðstafanir byggja fyrst og fremst á auðlindum og kjamafærni. Samhengisvíddin lýsir þeim aðstæðum sem ákvarða ferli og innihald stefnumótunar. Öryggisráðstafanir byggja á innri stýringu og áhættumatið á ytri Hagkvæmast að sveigjanleika. miða ráðstafanir við Svipað á við um stjórnun upplýsingaör- eigið áhættumat yggis °g margra annarra innri rekstrar- þátta, að aðferðir gæðastjórnunar geta hentað vel. Hæfilegar, eðlilegar og góðar starfsvenjur í takt við tímann hafa verið skjalfestar í formi staðla og annarra leið- beininga um stjórnun upplýsingaöryggis. Gert er ráð fyrir að beitt sé skipulagsleg- um ráðstöfunum ekki síður en tæknileg- um, til að tryggja sem best aðgengi, rétt- leika og leynd upplýsinga. Mikilvægt er að menn beiti ekki stöðlum í blindni, held- ur meti kröfurnar í eigin umhverfi og velja ráðstafanir í samiæmi við þær. Þar er kominn kjarninn í hagfræði upp- lýsingaöryggis: að miða ráðstafanir við eigið áhættumat. Hræðsla og vanþekking fær því miður fyrirtæki og stofnanir oft til að byggja virki við aðaldymar en skilja bakdyrnar eftir opnar. Stjórnun upplýsingaöryggis á íslandi títbúnar voru 127 spurningar um stjómun upplýsingaöryggis, vitund og stöðu miðað við önnur lönd og hvað megi betur fara. Spurningarnar byggðu á fræðilegri athug- un og erlendri fyrirmynd. Spumingalistinn var notaður til að gera vefkönnun meðal 113 fyrirtækja og stofnana úr öllum at- vinnugreinum og svöruðu henni 63. Könnunin var gerð í samstarfi við KPMG og Staðlaráð Islands. Súluridð sýnir með bláu þær mælingar sem þannig fengust á kröfum og framkvæmd mála varðandi upplýsingaöryggi (ISM), árangur almennt og verndun almennt, en með rauðu erlend- an samanburð. Meginniðurstaða könnunarinnar var sú, að stjórnendur finna minni kröfur um upp- lýsingaöryggi en til árangurs almennt, en meiri en til verndunar eigna og lífs og stjómunaráherslur eru í samræmi við það. Einnig reyndist fylgni vera lítil milli ár- angurs, notkunar staðla og ráðstafana, sem er áhyggjuefni, þar sem kröfur um stjóm- un upplýsingaöryggis gefa tilefni til meiri notkunar staðla. íslensk fyrirtæki finna meiri kröfur um upplýsingaöryggi og leggja meiri áherslu á stjórnun þess en almennt gerist erlendis. Menn fmna jafnt fyrir lagalegum og við- skiptalegum kröfum. íslenskar áherslur á upplýsingaöryggi virðast minni en kröf- urnar, en ekki er marktækur munur. Mjög sterk fylgni er milli krafna um upplýsinga- öryggi og áherslu á stjórnun þess. Kröfur um staðla vega minna en aðrar íslenskar kröfur um upplýsingaöryggi. Umfang ráðstafana vegna upplýsingaör- yggis er í samræmi við kröfur og áherslur, en virðist vera svipað og erlendis þrátt fyr- ir að áhersla á upplýsingaöryggi sé meiri hérlendis. Þó er hægt að leiða líkur að því að öryggisráðstafnir séu hlutfallslega meiri hér vegna smæðar skipulagsheild- anna. Islensk fyrirtæki mæla síður árangurinn af stjórnun upplýsingaöryggis en erlend, en telja þó aðra Evrópubúa ná betri ár- angri. Vera kann að þessi minnimáttar- kennd valdi því að Islendingar finni meira fyrir kröfunum um upplýsingaöryggi og leggi því meiri áherslu á stjórnun þess, en séu ekki komnir svo langt að læra að mæla árangurinn. Sem frekari innlegg í umræðuna var eitt íslenskt raundæmi skoðað nánar, sem gaf m.a. vísbendingar um að líta mætti á stjómun upplýsingaöryggis sem hringferli 26 Tölvumál

Blaðsíða 1
Blaðsíða 2
Blaðsíða 3
Blaðsíða 4
Blaðsíða 5
Blaðsíða 6
Blaðsíða 7
Blaðsíða 8
Blaðsíða 9
Blaðsíða 10
Blaðsíða 11
Blaðsíða 12
Blaðsíða 13
Blaðsíða 14
Blaðsíða 15
Blaðsíða 16
Blaðsíða 17
Blaðsíða 18
Blaðsíða 19
Blaðsíða 20
Blaðsíða 21
Blaðsíða 22
Blaðsíða 23
Blaðsíða 24
Blaðsíða 25
Blaðsíða 26
Blaðsíða 27
Blaðsíða 28
Blaðsíða 29
Blaðsíða 30
Blaðsíða 31
Blaðsíða 32
Blaðsíða 33
Blaðsíða 34
Blaðsíða 35
Blaðsíða 36
Blaðsíða 37
Blaðsíða 38
Blaðsíða 39
Blaðsíða 40
Blaðsíða 41
Blaðsíða 42
Blaðsíða 43
Blaðsíða 44