Tietoturvallisuuden hallintajärjestelmän ylläpito

Abstract

Tämän opinnäytetyön tarkoituksena oli suunnitella Cinia Oy:lle ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän ylläpitoprosessi. Tutkimuskysymyksenä oli, miten kansainvälisen ISO/IEC 27001 -standardin mukaista kyvykkyyttä ylläpidetään. Lisäksi tutkittiin, miten henkilöstö ja yrityksen johto sitoutetaan ja motivoidaan tietoturvallisuuden hallintajärjestelmän ylläpitoon ja miten yritys voi hyödyntää ISO/IEC 27001 -sertifikaattia liiketoimintansa tukena.

Tietoa kerättiin kirjallisuuskatsauksen, dokumenttianalyysin sekä haastatteluiden keinoin. Keskeisimpinä kirjallisuuslähteinä hyödynnettiin kansainvälistä ISO/IEC 27001 -standardia tietoturvallisuuden hallintajärjestelmän vaatimuksista sekä muita saman standardisarjan julkaisuja, jotka täydentävät edellä mainittuja vaatimuksia. Dokumenttianalyysissä perehdyttiin kohdeorganisaation sisäiseen dokumentaatioon ja selvitettiin olemassa olevia toimintatapoja. Dokumenttianalyysin tuloksia täydennettiin haastattelemalla kohdeorganisaation asiantuntijoita.

Opinnäytetyön tuloksena tunnistettiin tietoturvallisuuden hallintajärjestelmän ylläpitoon liittyvät keskeiset toimintamallit ja prosessit. Näiden prosessien ja toimintamallien ympärille suunniteltiin kohdeorganisaatiolle dokumentoitu tietoturvallisuuden hallintajärjestelmän ylläpitoprosessi vastuineen. Tätä prosessia ja suunnitelmaa noudattamalla organisaation on mahdollista ylläpitää ISO/IEC 27001 -standardin mukaista kyvykkyyttä ja täyttää standardin esittämät vaatimukset.

The purpose of this thesis was to plan the maintenance process of an ISO/IEC 27001 compliant information security management system for Cinia Ltd. The research answers the question of how to maintain the capabilities required by the international ISO/IEC 27001 standard. In addition, the study focuses on mapping means to ensure the personnel’s and management’s engagement and motivation towards the maintenance of the information security management system and how the ISO/IEC 27001 certificate could be used to benefit the company’s business.

The study was conducted using a literature review, document analysis and interviews. The ISO/IEC 27001 standard detailing the requirements for an information security management system was exploited as the key literature source along with the other standards published in the same standard series which complement the requirements set by ISO/IEC 27001. Document analysis was utilized to explore the company’s documentation and current operating models. Interviews with Cinia’s experts were used to complement the results of the document analysis.

The outcome of this thesis are fundamental operating models and procedures for the maintenance of an information security management system. Based on these operating models and procedures, the maintenance process of the information security management system and associated responsibilities were designed. Utilizing this process and plan, it is possible for the organization to comply with the ISO/IEC 27001 standard and to meet the requirements set by the standard.