Acta Univ. Bohem. Merid. 2010, 13(3):89-95 | DOI: 10.32725/acta.2010.0351030

POUŽITÍ DOMNĚNKOVÝCH FUNKCÍ PŘI AUDITU SYSTÉMU ŘÍZENÍ BEZPEČNOSTI INFORMACÍ

Ladislav Beránek
University of South Bohemia in České Budějovice

Audit systému řízení informační bezpečnosti (ISMS) je důležitým prvkem dobře fungujícího systému ISM. V rámci auditu ISMS je rovněž nezbytné stanovit auditorská rizika. Existují různé metody vyvinuty pro hodnocení rizik. Tyto metody používají kvantitativní metody nebo mohou být založeny na kvalitativním hodnocení rizik. Platné standardy (např. ISO 27001) pro implementaci a provozování ISMS nechávají na provozovateli, jak provádět identifikaci rizik, příslušné analýzy a vyhodnocení. Existují modely používající různých pravděpodobnostních metod nebo metod založených na Bayesovské statistice. Nicméně, v současné době neexistují žádné všeobecně uznávané metody pro výpočet auditorského rizika. Důvodem je obtížnost kvantifikace některých událostí a často subjektivní povahy analýzy.
V tomto příspěvku představujeme model pro určení auditorského rizika při auditu systému řízení bezpečnosti informací založený na Dempster-Shaferově teorii domněnkových funkcí (označované také jako teorie důkazu). Výhodou tohoto modelu je schopnost pracovat s neurčitostí a subjektivními hodnoceními. Navržený model pak aplikujeme na určení auditorského rizika ve zvolené oblasti standardu ISO 27001.

Keywords: Systém řízení bezpečnosti informací, audit informačních systémů, domněnkové funkce, audit rizik, ISO 27001

Using the evidential reasoning approach in auditing of an information security management system

Audit information security management system (ISMS) is an important element of a well-functioning ISM. As part of an ISMS audit, it is also necessary to determine the audit risk. Various methods exist and are developed for risk assessment, both in practical and theoretical level. These methods can use quantitative methods, or may be based on a qualitative assessment of risks. Current standards (e.g. ISO 27001) for construction and operation of the ISMS remain on operators how to carry out risk identification, relevant analyses and evaluations. Various probabilistic methods or methods based on Bayesian statistics are widely used theoretical methods. However, currently there are no generally accepted methods for calculating risk. This is due to the difficulty of quantifying some events and often subjective nature of the analysis.
In this paper, we introduce an evidential reasoning model (evidential reasoning approach under the Dempster-Shafer theory) for the information systems audit risk assessment. The advantage of this approach is the ability to work with indeterminations and subjective evaluations. The proposed model is applied to the assessment of audit risk in the chosen field of standard ISO 27001.

Keywords: Information security management system, Information systems audit, Belief functions, Audit risk, ISO 27001

Published: October 2, 2012  Show citation

ACS AIP APA ASA Harvard Chicago Chicago Notes IEEE ISO690 MLA NLM Turabian Vancouver
Beránek, L. (2010). Using the evidential reasoning approach in auditing of an information security management system. Acta Universitatis Bohemiae Meridionalis13(3), 89-95. doi: 10.32725/acta.2010.035
Share...
Download citation
  • BibTeX (.bib)
  • Bookends (.ris)
  • EasyBib (.ris)
  • EndNote (.enw)
  • EndNote 8 (.xml)
  • ISI WoS (.isi)
  • Medlars (.medlars)
  • Mendeley (.ris)
  • MODS (.xml)
  • Papers (.ris)
  • RefWorks (.txt)
  • RefManager (.ris)
  • RIS (.ris)
  • MS Word (.xml)
  • Zotero (.ris)
    • Open full article

    References

    1. International Organization for Standardization [online]. 2010 [cit. 2010-09-16]. ISO/IEC 27001:2005. Dostupný z WWW:
    2. CRAMM. The total information security toolkit [online]. 2010 [cit. 2010-08-18]. Dostupný z WWW:
    3. Beránek, L. Auditing Electronic Auction Systems: Knowing the Risks. ISACA Journal: Journal Online [online suplement]. 2010, 4, August, [cit. 2010-08-18]. Dostupný z WWW: ISSN 1526-7407.
    4. Shafer, G. A Mathematical Theory of Evidence. Princeton University Press, 1976, 297 p. Go to original source...
    5. Srivastava, R., Mock, T. Why We Should Consider Belief Functions in Audit Research and Practice. The Auditor's Report. 2005, Vol. 28, No. 2.
    6. Srivastava, R., Shafer, G. Belief-Function Formulas for Audit Risk. The Accounting Review. 1992, Vol. 67, No. 2.
    7. Sun, L., Srivastava, R., Mock, T. An Information Systems Security Risk Assessment Model under Dempster-Shafer Theory of Belief Functions. Journal of Management Information Systems. 2006, Vol. 22, No. 4. Go to original source...
    8. Beránek, L., Tlustý, P., Remeš, R. An Online Auction Trust Model for Based on the Contextual Information. In Proceedings of the Workshop on the Theory of Belief Functions (Belief 2010), Brest, France, 1-2 April 2010, Paper 110, s. 1-6.
    9. International Organization for Standardization [online]. 2010 [cit. 2010-09-16]. ISO/IEC 27002:2005. Dostupné z WWW:
    10. Peltier, T. R. How to Complete a Risk Assessment in 5 Days or Less. Auerbach Publications, London, 2008, 444 p. Go to original source...

    This is an open access article distributed under the terms of the Creative Commons Attribution 4.0 International License (CC BY 4.0), which permits use, distribution, and reproduction in any medium, provided the original publication is properly cited. No use, distribution or reproduction is permitted which does not comply with these terms.


    Return to the content