„Að komast í fyrsta sætið.” Rannsókn á ástæðum innleiðingar öryggisstjórnunarstaðalsins ISO 27001 í íslenskum fyrirtækjum

Abstract

Markmið rannsóknarinnar var að kanna ástæður fyrir innleiðingu ISO 27001 staðalsins fyrir stjórn upplýsingaöryggis hjá íslenskum fyrirtækjum og hvernig unnið væri eftir honum. Vakin er athygli á gagnsemi staðalsins í þeim tilgangi að efla áhuga fræðimanna á honum. Notuð var eigindleg aðferðafræði, tekin opin einstaklingsviðtöl við tíu aðila og gerð þátttökuathugun.Niðurstöður sýna þrjár meginástæður fyrir því að fyrirtæki ákváðu að fara í vottun, markaðslegar-, innri- og lagalegar ástæður. Vottunin var talin borga sig, ýmist markaðslega, faglega eða samskiptalega. Innleiðing gekk misvel og tók frá níu mánuðum upp í átta ár. Erfitt var að átta sig á jafnvæginu á milli öryggis og þæginda. Fyrirtæki vildu nýta sér nýja tækni en þurftu að tryggja að örygginu yrði ekki fórnað á móti. Mikilvægt er að hafa öryggið hæfilega mikið. Of lítil öryggi og einnig of mikið öryggi getur verið dýrkeypt. Grisjun pappírsgagna reyndist í góðu lagi, en grisjun rafrænna gagna var almennt ábótavant. Úttektirnar voru skoðaðar og valda þær streitu meðal starfsmanna. Öll fyrirtækin í rannsókninni höfðu fengið minniháttar athugasemdir en verst þótti að fá engar athugasemdir vegna slævingaráhrifa. Galdurinn við að fá vottun byggist á því að byrja á einföldu kerfi sem síðan mætti stöðugt bæta. Að lokum var skoðuð erlend orðanotkun meðal notenda staðalsins.

The purpose of this research was to find out why Icelandic firms decided to implement ISO 27001 and how it was used. The research also highlights the benefits of the standard to promote academic interest. Qualitative methodology was used and in-depth interviewing with ten people and one participation observation.The results suggest three main reasons for implementing ISO 27001, marketing reasons, internal reasons and legal reasons. Importantly the certification was considered to pay off. The implementation went sometimes well and sometimes not. It took from nine months to eight years. The balance between security and convenience was difficult to pinpoint. The firms wanted to use new technology but had to make sure it didn‘t compromise the security. The right balance of security is essential, not too little nor too much. Destruction of paper data was fine, but there was a lack of destroying electronic data. Audits were found to be stressful. All corporations had received minor non-conformaties at some point, however, getting zero non-conformaties was the worst. The trick of getting a certification is based on starting with something simple, get certified and make improvements. Finally, the reason for excessive use of foreign words was examined.