Luottamuksellisen tiedon säilyttäminen : salaisen tiedon luokittelu sekä henkilöstökoulutus yrityksessä
Lehtonen, Sanna (2016)
Lehtonen, Sanna
Turun ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201605198695
https://urn.fi/URN:NBN:fi:amk-201605198695
Tiivistelmä
Tiedon luokittelussa pyritään tunnistamaan ja merkitsemään yrityksen tieto sen suojaustoimenpiteiden mukaisesti. Prosessi on tärkeä osa yrityksen tiedon turvaamista, sillä määritellyn luokan perusteella voidaan ottaa käyttöön oikeat suojaustoimet. Tiedon luokittelu ja salaisen tiedon käsittely olivat osa kohdeyrityksellä käynnissä olevaa tietosuojaprojektia, ja se toteutetaan kohdeyrityksen lisäksi myös muualla Pohjoismaissa.
Tämän opinnäytetyön tarkoituksena oli tutustua yrityksen tiedon luokitteluun ja eritoten luottamuksellisen eli salaisen tiedon käsittelyyn ja säilytykseen. Yritykseen implementoitiin salaiselle tiedolle varattu säilytyspaikka, josta järjestettiin henkilöstökoulutuksia asianomaisille henkilöille. Tavoitteena oli tutustua erilaisiin tiedon säilytysmahdollisuuksiin sekä maailmalla yleisiin luokittelupolitiikkoihin, ja verrata näitä yritykselle käyttöön tulevaan politiikkaan ja tiedon säilytyspaikkaan.
Opinnäytetyön teoreettisessa viitekehyksessä tutustuttiin yleisiin tiedon luokittelun menetelmiin ja luottamuksellisen tiedon määritelmään sekä luokitteluun. Tiedon luokittelun pohjana käytettiin ISO/IES 27001 -standardia, joka määrittelee tiedon luokituksen yrityksessä. Luottamuksellisen tiedon luokittelun keskeisiä osa-alueita tutkittiin yleisiin menetelmiin tutustumalla. Osa-alueisiin voidaan laskea kuuluviksi tiedon paikantaminen, luokittelu ja suojaaminen. Tutkimuksen kohteena olivat myös erilaiset tiedon säilytysmenetelmät ja mahdollisuudet pilvipalveluiden hyödyntämiseen luottamuksellisen tiedon säilyttämisessä. Säilytysmenetelmiksi voidaan tässä tapauksessa laskea muun muassa jaetut verkkolevyt, SharePointiin perustuvat ratkaisut sekä pilvipalveluntarjoajan tarjoamat vaihtoehdot tiedon säilytykseen.
Empiirisessä osuudessa haastateltiin kohdeyrityksen työntekijää erään toisen yrityksen luokittelupolitiikasta. Haastattelun tuloksia käytettiin kohdeyrityksen ja haastattelussa käsitellyn yrityksen keskinäisessä vertailussa. Kohdeyrityksen tiedon luokittelupolitiikkaa tarkasteltiin ja arvioitiin käyttäjän näkökulmasta. Tarkoituksena oli selvittää kuinka selkeät ohjeistukset ja vaatimukset yrityksellä on tarjolla tiedon luokitteluun. Käyttäjille tehtiin suomennetut ohjeet konsernilla käytössä olevista tiedon luokittelun ohjeistuksista sekä tarjolla olevista työkaluista. Ohjeet julkaistaan yrityksen intranetissä. Henkilöstökoulutuksessa pyrittiin huomioimaan käyttäjät ja avartamaan heidän tietämystään salaisen tiedon luokittelusta. Lisäksi koulutuksessa esiteltiin luokittelun apuna käytettäviä työkaluja ja tietojen uutta säilytyspaikkaa. Palaute koulutuksista oli erittäin positiivista, joten lisäkoulutuksia pidetään tarvittaessa.
Tämän opinnäytetyön tarkoituksena oli tutustua yrityksen tiedon luokitteluun ja eritoten luottamuksellisen eli salaisen tiedon käsittelyyn ja säilytykseen. Yritykseen implementoitiin salaiselle tiedolle varattu säilytyspaikka, josta järjestettiin henkilöstökoulutuksia asianomaisille henkilöille. Tavoitteena oli tutustua erilaisiin tiedon säilytysmahdollisuuksiin sekä maailmalla yleisiin luokittelupolitiikkoihin, ja verrata näitä yritykselle käyttöön tulevaan politiikkaan ja tiedon säilytyspaikkaan.
Opinnäytetyön teoreettisessa viitekehyksessä tutustuttiin yleisiin tiedon luokittelun menetelmiin ja luottamuksellisen tiedon määritelmään sekä luokitteluun. Tiedon luokittelun pohjana käytettiin ISO/IES 27001 -standardia, joka määrittelee tiedon luokituksen yrityksessä. Luottamuksellisen tiedon luokittelun keskeisiä osa-alueita tutkittiin yleisiin menetelmiin tutustumalla. Osa-alueisiin voidaan laskea kuuluviksi tiedon paikantaminen, luokittelu ja suojaaminen. Tutkimuksen kohteena olivat myös erilaiset tiedon säilytysmenetelmät ja mahdollisuudet pilvipalveluiden hyödyntämiseen luottamuksellisen tiedon säilyttämisessä. Säilytysmenetelmiksi voidaan tässä tapauksessa laskea muun muassa jaetut verkkolevyt, SharePointiin perustuvat ratkaisut sekä pilvipalveluntarjoajan tarjoamat vaihtoehdot tiedon säilytykseen.
Empiirisessä osuudessa haastateltiin kohdeyrityksen työntekijää erään toisen yrityksen luokittelupolitiikasta. Haastattelun tuloksia käytettiin kohdeyrityksen ja haastattelussa käsitellyn yrityksen keskinäisessä vertailussa. Kohdeyrityksen tiedon luokittelupolitiikkaa tarkasteltiin ja arvioitiin käyttäjän näkökulmasta. Tarkoituksena oli selvittää kuinka selkeät ohjeistukset ja vaatimukset yrityksellä on tarjolla tiedon luokitteluun. Käyttäjille tehtiin suomennetut ohjeet konsernilla käytössä olevista tiedon luokittelun ohjeistuksista sekä tarjolla olevista työkaluista. Ohjeet julkaistaan yrityksen intranetissä. Henkilöstökoulutuksessa pyrittiin huomioimaan käyttäjät ja avartamaan heidän tietämystään salaisen tiedon luokittelusta. Lisäksi koulutuksessa esiteltiin luokittelun apuna käytettäviä työkaluja ja tietojen uutta säilytyspaikkaa. Palaute koulutuksista oli erittäin positiivista, joten lisäkoulutuksia pidetään tarvittaessa.