persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar og auka vitund þeirra á öryggisstefnu, tilgangi hennar og ávinning þess að innleiða hana. Koma þarf af stað kynningarteymi til að fylgja þessu kynningarefni eftir til dæmis með námskeiðum, hádegisfyrirlestrum og bæklingum. Fyrirtæki sem eru ekki vottuð en hafa markað öryggisstefnu hafa engan gæðastimpil til að sýna viðskiptavinum og samstarfsaðilum sem sönnun þess að þeir séu með stjórnkerfi fyrir upplýsingaöryggi og verndi upplýsingar sínar. Hugmynd væri að hafa mismunandi stig vottunar eða gæðastimpla t.d. A, B, C eftir því hvers eðlis áhættur og/eða ógnanir steðja að tilteknu fyrirtæki og hversu miklar persónuupplýsingar og/ eða viðkvæmar uplýsingar það hefur að geyma. Með þessum hætti geta fyrirtæki sýnt fram á að þau hugi að upplýsingaöryggi í rekstri sínum. Formið á viðtölum sem framkvæmd voru í umræddri könnun bauð upp á að svörin væru fremur huglæg þar sem svör þátttakenda byggðust að mestu á persónulegum skoðunum þeirra. Áhugavert væri í næstu rannsókn að horfa meira til hlutlægra gagna á borð við verkferla og verklagsreglur, vinnubrögð starfsmanna, starf úttektarmanna og vinnuumhverfi fyrirtækja. Hlutlæg gögn sem aflað væri á vettvangi gætu gefið ítarlegri mynd af raunstöðu öryggismála innan íslenskra fyrirtækja. Niðurstaðan er sú að öll þau fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar ber að marka öryggisstefnu samkvæmt lögum og geta valið hvort þau vilji öðlast vottun samkvæmt ISO/IEC 27001. Lokaorð Niðurstaðan er sú að öll þau fyrirtæki sem meðhöndla persónuupplýsingar og/eða aðrar viðkvæmar upplýsingar ber að marka öryggisstefnu samkvæmt lögum og geta valið hvort þau vilji öðlast vottun samkvæmt ISO/IEC 27001. Það að sýna fram á að fyrirtæki marki öryggisstefnu eykur trúverðugleika þess þar sem það sýnir fram á að öryggisatriðum er sinnt í stjórnkerfi upplýsingaöryggis. Það er hinsvegar í höndum utanaðkomandi aðila að treysta því að fyrirtæki fari eftir settri öryggisstefnu en hægt er að auka traustið enn meira sé fyrirtækið vottað samkvæmt ISO/IEC 27001 því það er staðfesting þess að farið er eftir öllum kröfum sem snúa að öryggi upplýsinga. Grein þessi er unnin upp úr meistaraverkefni Maríönnu Magnúsdóttir í rekstrarverkfræði við Háskólann í Reykjavík vorið 2011. Tryggir þú öryggi þitt á Netinu? Kynntu þér leiðbeiningar á www.netöryggi.is

Page 1
Page 2
Page 3
Page 4
Page 5
Page 6
Page 7
Page 8
Page 9
Page 10
Page 11
Page 12
Page 13
Page 14
Page 15
Page 16
Page 17
Page 18
Page 19
Page 20
Page 21
Page 22
Page 23
Page 24
Page 25
Page 26
Page 27
Page 28
Page 29
Page 30
Page 31
Page 32
Page 33
Page 34
Page 35
Page 36
Page 37
Page 38
Page 39
Page 40
Page 41
Page 42
Page 43
Page 44
Page 45
Page 46
Page 47
Page 48