Tietoturvallisuuden hallintajärjestelmän auditointi
Tammelin, Lauri (2018)
Metropolia Ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018060111832
https://urn.fi/URN:NBN:fi:amk-2018060111832
Tiivistelmä
Insinöörityön tavoitteena oli kartoittaa kohdeyrityksen tietoturvallisuuden hallintajärjestelmän nykyinen tila. Tavoitteena oli myös selvittää tarvittavat toimenpiteet ISO 27002 -standardin mukaisen sertifioinnin saavuttamiseksi. Insinöörityö tehtiin yrityksen sisäisiä resursseja hyödyntäen.
Työssä tutustuttiin aluksi tietoturvallisuuden perusperiaatteisiin, minkä jälkeen perehdyttiin ISO 27000 -standardiperheeseen. Tämän jälkeen perehdyttiin kohdeyrityksen tietoteknisiin järjestelmiin ja sen nykyiseen tietoturvallisuuden hallintajärjestelmään sekä kartoitettiin, kuinka hyvin se toteuttaa ISO 27001- ja ISO 27002 -standardit.
Nykyisen tietoturvallisuuden hallintajärjestelmän dokumentoinnin puutteellisuuden perusteella päätettiin luoda kyselypohja ISO 27002 -standardin pohjalta. Kyselypohjan tavoitteena oli kartoittaa kohdeyrityksen nykyisiä tietoturvallisuuskäytäntöjä. Kysely käytiin läpi yrityksen tietoturvasta vastaavien henkilöiden kanssa.
Kyselyn vastauksia analysoimalla pystyttiin luomaan yritykselle kehityssuunnitelma tietoturvallisuuden parantamiseksi. Kehityssuunnitelman lopullinen tavoite oli yrityksen haluaman ISO 27002 -standardin mukaisen sertifioinnin saavuttaminen.
Insinöörityössä luotu kyselypohja oli hyvä aloituskohta tietoturvallisuuden hallintajärjestelmän kehittämiseen. Kyselypohja antoi hyvän kokonaiskuvan yrityksen tietoturvallisuuden nykytilasta. Kysymykset kuitenkin osoittautuivat liian yleisluontoisiksi ja vaikeaselkoisiksi. Insinöörityön löydösten pohjalta yritys ryhtyi konkreettisiin toimiin tietoturvallisuuden parantamiseksi.
Työssä tutustuttiin aluksi tietoturvallisuuden perusperiaatteisiin, minkä jälkeen perehdyttiin ISO 27000 -standardiperheeseen. Tämän jälkeen perehdyttiin kohdeyrityksen tietoteknisiin järjestelmiin ja sen nykyiseen tietoturvallisuuden hallintajärjestelmään sekä kartoitettiin, kuinka hyvin se toteuttaa ISO 27001- ja ISO 27002 -standardit.
Nykyisen tietoturvallisuuden hallintajärjestelmän dokumentoinnin puutteellisuuden perusteella päätettiin luoda kyselypohja ISO 27002 -standardin pohjalta. Kyselypohjan tavoitteena oli kartoittaa kohdeyrityksen nykyisiä tietoturvallisuuskäytäntöjä. Kysely käytiin läpi yrityksen tietoturvasta vastaavien henkilöiden kanssa.
Kyselyn vastauksia analysoimalla pystyttiin luomaan yritykselle kehityssuunnitelma tietoturvallisuuden parantamiseksi. Kehityssuunnitelman lopullinen tavoite oli yrityksen haluaman ISO 27002 -standardin mukaisen sertifioinnin saavuttaminen.
Insinöörityössä luotu kyselypohja oli hyvä aloituskohta tietoturvallisuuden hallintajärjestelmän kehittämiseen. Kyselypohja antoi hyvän kokonaiskuvan yrityksen tietoturvallisuuden nykytilasta. Kysymykset kuitenkin osoittautuivat liian yleisluontoisiksi ja vaikeaselkoisiksi. Insinöörityön löydösten pohjalta yritys ryhtyi konkreettisiin toimiin tietoturvallisuuden parantamiseksi.