Development of a Structured Security Documentation Framework
Kinnari, Johanna (2013)
Kinnari, Johanna
Laurea-ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201305076878
https://urn.fi/URN:NBN:fi:amk-201305076878
Tiivistelmä
Tämän tutkimuksen tavoitteena oli kehittää ehdotus dokumenttirakenteeksi, jonka avulla on mahdollista luoda hallittavissa oleva turvallisuusdokumentaatiokokonaisuus. Rakenne kehitettiin ensisijaisesti Itella konsernin tarpeisiin. Itella on yksi Suomen suurimmista yritystyönantajista, joka tarjoaa palveluja tieto- ja tuotevirtojen digitaaliseen ja fyysiseen käsittelyyn. Palvelut tuotetaan Itellan kolmen eri toimialan toimesta kansainvälisesti.
Organisaation hallintotapakulttuuri ja tavoitteet määritellään hyvien politiikkojen kautta. Toimiva ohjausdokumentaatio muodostaa määritellyn rakenteen organisaation eri asiakirjoja varten. Mahdollisuus löytää punainen lanka dokumentaatiohierarkian alemmista dokumenteista aina siihen liittyvään politiikkaan ja perustana oleviin liiketoimintatavoitteisiin saakka kasvattaa ymmärrystä organisaation turvallisuustavoitteista, ja syistä turvallisuuteen liittyville hallintotavoille.
Jo tutkimuksen alkuvaiheessa alkoi näyttää siltä, että tätä aihealuetta ei ole tutkittu aikaisemmin. Kirjallisuutta tai tieteellisiä tutkimuksia, jotka kattavat tämän näkökulman perusteellisemmin ei voitu löytää. Aihealuetta ohuesti käsittelevä kirjallisuus kertoi pääosin liiketoiminnan ja turvallisuuden hallinnointitavoista, sekä ohjeisti turvallisuuspolitiikkojen sisällön kirjoittamiseen eri aiheista.
Koska kirjallista materiaalia nimenomaan dokumenttirakenteesta ei ollut saatavilla, käännyin ongelmani osalta eri organisaatioissa toimivien suomalaisten johtavien turvallisuusammattilaisten puoleen. Tein kyselytutkimuksen, joka paljasti lukuisia tapoja koostaa tämä turvallisuusdokumentointiin liittyvä rakenne ja rakenteeseen liittyvä hallinnointi.
Muodostin kyselytutkimuksen sekä kirjallisuusselvityksen pohjalta saatujen ideoiden ja ajatusten perusteella ehdotuksen turvallisuusdokumentaatiorakenteelle sekä sen nimeämiselle. Ehdotusta testattiin sekä asiantuntija-arviotimenetelmällä valittujen turvallisuusammattilaisten kanssa että kokeilemalla struktuurin käyttöä pöytätestaamalla tiettyjen tapausesimerkkien kautta. Pöytätestit toteutettiin Itellan sisäisesti.
Muodostettu rakenteellinen kehys soveltuu Itellan tarpeisiin, mutta asiakokonaisuuden ollessa yleinen, se varmasti soveltuu myös muiden organisaatioiden käyttöön. Koska Itellalla ei ole yleistä dokumenttirakennetta käytössä, ehdostusta turvallisuudendokumentaatiorakenteesta tullaan ehdottamaan myös Itellan yleiseksi dokumentaatiorakenteeksi.
Organisaation hallintotapakulttuuri ja tavoitteet määritellään hyvien politiikkojen kautta. Toimiva ohjausdokumentaatio muodostaa määritellyn rakenteen organisaation eri asiakirjoja varten. Mahdollisuus löytää punainen lanka dokumentaatiohierarkian alemmista dokumenteista aina siihen liittyvään politiikkaan ja perustana oleviin liiketoimintatavoitteisiin saakka kasvattaa ymmärrystä organisaation turvallisuustavoitteista, ja syistä turvallisuuteen liittyville hallintotavoille.
Jo tutkimuksen alkuvaiheessa alkoi näyttää siltä, että tätä aihealuetta ei ole tutkittu aikaisemmin. Kirjallisuutta tai tieteellisiä tutkimuksia, jotka kattavat tämän näkökulman perusteellisemmin ei voitu löytää. Aihealuetta ohuesti käsittelevä kirjallisuus kertoi pääosin liiketoiminnan ja turvallisuuden hallinnointitavoista, sekä ohjeisti turvallisuuspolitiikkojen sisällön kirjoittamiseen eri aiheista.
Koska kirjallista materiaalia nimenomaan dokumenttirakenteesta ei ollut saatavilla, käännyin ongelmani osalta eri organisaatioissa toimivien suomalaisten johtavien turvallisuusammattilaisten puoleen. Tein kyselytutkimuksen, joka paljasti lukuisia tapoja koostaa tämä turvallisuusdokumentointiin liittyvä rakenne ja rakenteeseen liittyvä hallinnointi.
Muodostin kyselytutkimuksen sekä kirjallisuusselvityksen pohjalta saatujen ideoiden ja ajatusten perusteella ehdotuksen turvallisuusdokumentaatiorakenteelle sekä sen nimeämiselle. Ehdotusta testattiin sekä asiantuntija-arviotimenetelmällä valittujen turvallisuusammattilaisten kanssa että kokeilemalla struktuurin käyttöä pöytätestaamalla tiettyjen tapausesimerkkien kautta. Pöytätestit toteutettiin Itellan sisäisesti.
Muodostettu rakenteellinen kehys soveltuu Itellan tarpeisiin, mutta asiakokonaisuuden ollessa yleinen, se varmasti soveltuu myös muiden organisaatioiden käyttöön. Koska Itellalla ei ole yleistä dokumenttirakennetta käytössä, ehdostusta turvallisuudendokumentaatiorakenteesta tullaan ehdottamaan myös Itellan yleiseksi dokumentaatiorakenteeksi.