Yrityksen tietoturvakartoitus
Kantanen, Tanja (2013)
Kantanen, Tanja
Metropolia Ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013120119209
https://urn.fi/URN:NBN:fi:amk-2013120119209
Tiivistelmä
Insinöörityössä tutkitaan tietoturvakartoituksen laatimista ja sen toteutusta varten huomioitavia asioita. Kartoituksen tarkoituksena on selvittää yrityksen tämänhetkinen tietoturvan taso. Kartoituksen perusteella saadaan tietoa kehittämistä vaativista osa-alueista ja voidaan laatia korjausehdotukset.
Työn teoriaosuudessa on käyty läpi tietoturvan peruskäsitteet ja osa-alueet sekä tietoturvaan liittyvät ISO/IEC 27001 -standardi ja Puolustusvoimien luoma Kansallinen turvallisuusauditointikriteeristö KATAKRI. Teoriaa on syvennetty liittämällä tietoturva yrityksen liiketoimintaan ja käymällä läpi tietoturvaan liittyvää Suomen lainsäädäntöä.
Tietoturvakartoitus on aloitettu kartoittamalla suojattavat kohteet. Saatujen tulosten pohjalta on tehty syventävä kartoitus. Näiden lisäksi on toteutettu laajempi kartoitus, joka yhdistää ISO/IEC 27001 -standardin ja KATAKRI:n aihealueet haastattelukysymyksiksi. Kartoituksen tulokset on luokiteltu salaisiksi niiden arkaluontoisuuden takia.
Tämä työ luo kattavan pohjan yrityksen tietoturvakartoituksen laatimiselle, sen tavoitteena on olla hyödyksi tietoturvakäsikirjan kehittämisessä ja yrityksen tietoturvatason parantamisessa.
Työn teoriaosuudessa on käyty läpi tietoturvan peruskäsitteet ja osa-alueet sekä tietoturvaan liittyvät ISO/IEC 27001 -standardi ja Puolustusvoimien luoma Kansallinen turvallisuusauditointikriteeristö KATAKRI. Teoriaa on syvennetty liittämällä tietoturva yrityksen liiketoimintaan ja käymällä läpi tietoturvaan liittyvää Suomen lainsäädäntöä.
Tietoturvakartoitus on aloitettu kartoittamalla suojattavat kohteet. Saatujen tulosten pohjalta on tehty syventävä kartoitus. Näiden lisäksi on toteutettu laajempi kartoitus, joka yhdistää ISO/IEC 27001 -standardin ja KATAKRI:n aihealueet haastattelukysymyksiksi. Kartoituksen tulokset on luokiteltu salaisiksi niiden arkaluontoisuuden takia.
Tämä työ luo kattavan pohjan yrityksen tietoturvakartoituksen laatimiselle, sen tavoitteena on olla hyödyksi tietoturvakäsikirjan kehittämisessä ja yrityksen tietoturvatason parantamisessa.