Praktyczne podejście do wdrażania systemów zarządzania bezpieczeństwem informacji w małych i średnich przedsiębiorstwach

• Authors: Andrukiewicz Elżbieta , Kowalewski Marian

Title variants

EN

Economy aspects of the ISMS strategy implementations in SMEs

• Languages of publication: PL

Abstracts

PL

Zaproponowano praktyczny sposób podejścia do wyboru strategii wdrażania Systemu Zarządzania Bezpieczeństwem Informacji (SZBI) na podstawie znanej metodyki SWOT. Dla celów analizy dokonano klasyfikacji czynników zewnętrznych (umożliwiających identyfikację szans i zagrożeń dla organizacji) oraz wewnętrznych (umożliwiających identyfikację silnych i słabych stron organizacji). Następnie zastosowano algorytm umożliwiający kwantyfikację czynników i uzyskanie wskaźnika dla wyboru najlepszej strategii dla danej organizacji. Dane zebrane na potrzeby analizy SWOT równolegle wykorzystano do przeprowadzenia wysokopoziomowej analizy ryzyka związanego z bezpieczeństwem informacji. Oszacowane poziomy ryzyka pozwalają określić priorytety działań w organizacji w obszarze zarządzania bezpieczeństwem informacji. W końcowej części artykułu przedstawiono zastosowanie proponowanego podejścia w wybranej organizacji.

EN

A practical approach to the Information Security Management System (ISMS) strategy implementation based on SWOT methodology is proposed in this paper. A classification of external factors (allowing identification of opportunities and threats), and internal ones (allowing identification of strengths and weaknesses) for an organization, is presented. Next, a quantifying algorithm for these factors allows to determine the choice of optimal strategy for a given organization. Simultaneously, high-level information security risk analysis approach based on gathered data is performed. Estimated risk levels allow to indicate priorities for the organization activities determined at the strategy level. An example of application of the method proposed is presented in the final part.

Keywords

PL

Analiza ryzyka; MŚP; Zarządzanie bezpieczeństwem informacji

EN

Information security management; Risk analysis; SME

• Publisher: Uniwersytet Ekonomiczny w Katowicach
• Journal: Studia Ekonomiczne
• Year: 2018
• Volume: 355
• Pages: 7-20

Contributors

author

Andrukiewicz Elżbieta

• Instytut Łączności – Państwowy Instytut Badawczy

author

Kowalewski Marian

• Instytut Łączności – Państwowy Instytut Badawczy

References

• Boehmer W. (2009), Cost-benefit Trade-off Analysis of an ISMS Based on ISO 27001, “Availability, Reliability and Security”, 2009, ARES ‘09, International Conference on Fukuoka, Japan, March.
• European Commission (2016), Annual Report on European SMEs 2015/2016. SME Recovery Continues, https://ec.europa.eu/jrc/sites/jrcsh/files/annual_report_-_eu_smes_2015-16.pdf (dostęp: 20.11.2017).
• Gordon L.A., Loeb M.P. (2002), The Economics of Information Security Investment, “ACM Transactions of Information and System Security”, Vol. 5(4), s. 438-457.
• Gordon L.A., Loeb M.P., Lucyshyn W., Zhou L. (2015), The Impact of Information Sharing on Cybersecurity Underinvestment: A Real Options Perspective, “Journal of Accounting and Public Policy”, Vol. 34(5), s. 509-519.
• Mayadunne S., Park S. (2016), Economic Valuation for Information Security Investment: A Systematic Literature Review, “International Journal of Production Economics”, Vol. 182, s. 519-530.
• Obłój K. (2007), Strategia organizacji, Państwowe Wydawnictwa Ekonomiczne, Warszawa.
• PN-ISO 31000 (2010), Zarządzanie ryzykiem – Zasady i wytyczne.
• PN-ISO/IEC 27005 (2013), Zarządzanie ryzykiem w bezpieczeństwie informacji.
• PN-EN ISO/IEC 27001 (2016), Systemy zarządzania bezpieczeństwem informacji – Wymagania.
• Purser S.A. (2004), Improving the ROI of the Security Management Process, “Computers & Security”, Vol. 23(7), s. 542-546.
• Schatz D., Bashroush R. (2017), Economic Valuation for Information Security Investment: A Systematic Literature Review, “Information Systems Frontiers” October, Vol. 19, Iss. 5, s. 1205-1228.
• Tsiakis T., Stephanides G. (2005), The Economic Approach of Information Security, “Computers & Security”, Vol. 24(2), s. 105-108.
• [www 1] https://www.iso.org/the-iso-survey.html (dostęp: 20.11.2017).

Identifiers

ISSN

2083-8611