ISO 27001 vastauksena EU:n yleisen tietosuoja-asetuksen vaatimuksiin
Vetikko, Petri (2018)
Tampereen ammattikorkeakoulu
2018
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2018120520242
https://urn.fi/URN:NBN:fi:amk-2018120520242
Tiivistelmä
Tässä opinnäytetyössä keskityttiin löytämään yhteys tietosuoja-asetuksen ja ISO 27001 –standardin tuomien ratkaisumallien välillä. Pääosin lähteinä toimivat tietosuoja-asetus itse vaatimusten osalta, ja standardi sen tuomien ratkaisukeinoja osalta. Johdantona asetukseen ja itse aiheeseen esitellään EU:n digitaalisten sisämarkkinoiden strategia sekä kyberturvallisuusstrategia, jota on tutkittu EU:n omien julkaisujen pohjalta. Kummatkin strategiat koskettavat ja vaikuttavat merkittävään osaan EU:n kansalaisia, yrityksiä ja toimintaa.
Tietosuoja-asetuksesta avataan yrityksille esitetyt vaatimukset siltä osin, kun ne ovat tarpeellisia ISO 27001 –standardin suojakeinojen selittämiseksi. Asetuksen vaatimuk-sista tärkeimpinä avataan osoitusvelvollisuus, ilmoitusvelvollisuus, riskiperustainen lähestymistapa ja sisäänrakennettu tietosuoja. Vastauksena asetuksen asettamiin haasteisiin esitetään ISO 27001 –standardin tuomia ratkaisumalleja.
ISO 27001 –standardista kuvataan standardin asettamat pakolliset vaatimukset, jotka yrityksen tai organisaation on toteutettava noudattaakseen standardin määräyksiä. Samoin kuvataan standardin sataneljätoista vapaaehtoista vaatimusta, joista yritys tai organisaation voi perustellusti valita mitkä osat se toteuttaa ja erityisesti perusteella pois jätettävät osat.
Tutkimusmenetelmä on kirjallisuustutkimus, standardiin ja sen tietosuojaan liittyviin menetelmiin perehtymisen muodossa, sekä standardin tuomat ratkaisumallit. Ratkaisumalleista tärkeimmiksi nousee riskiperustainen lähestymistapa, joka säännöllisesti toteutettuna pitää yrityksen ajan tasalla siihen kohdistuvista riskeistä myös tietosuojan osalta. Ydinkysymyksenä on, miten yrityselämä voi varautua tietosuoja-asetuksen asettamiin vaatimuksiin.
Opinnäytetyön kirjoittamisen aikana tehtiin myös ISO 27001 sertifiointiprojektia Pirkanmaalla sijaitsevalle yritykselle. Yrityksen toiminnot on tarkoitus virtaviivaistaa standardin mukaiseksi ja lopulta sertifioida koko yritys ISO 27001 –standardiin. Opinnäytetyössä kuvataan standardin toteutuksen prosessi, mutta ei kuitenkaan syvennytä itse standardointiprosessin etenemiseen yrityksessä.
Tietosuoja-asetuksesta avataan yrityksille esitetyt vaatimukset siltä osin, kun ne ovat tarpeellisia ISO 27001 –standardin suojakeinojen selittämiseksi. Asetuksen vaatimuk-sista tärkeimpinä avataan osoitusvelvollisuus, ilmoitusvelvollisuus, riskiperustainen lähestymistapa ja sisäänrakennettu tietosuoja. Vastauksena asetuksen asettamiin haasteisiin esitetään ISO 27001 –standardin tuomia ratkaisumalleja.
ISO 27001 –standardista kuvataan standardin asettamat pakolliset vaatimukset, jotka yrityksen tai organisaation on toteutettava noudattaakseen standardin määräyksiä. Samoin kuvataan standardin sataneljätoista vapaaehtoista vaatimusta, joista yritys tai organisaation voi perustellusti valita mitkä osat se toteuttaa ja erityisesti perusteella pois jätettävät osat.
Tutkimusmenetelmä on kirjallisuustutkimus, standardiin ja sen tietosuojaan liittyviin menetelmiin perehtymisen muodossa, sekä standardin tuomat ratkaisumallit. Ratkaisumalleista tärkeimmiksi nousee riskiperustainen lähestymistapa, joka säännöllisesti toteutettuna pitää yrityksen ajan tasalla siihen kohdistuvista riskeistä myös tietosuojan osalta. Ydinkysymyksenä on, miten yrityselämä voi varautua tietosuoja-asetuksen asettamiin vaatimuksiin.
Opinnäytetyön kirjoittamisen aikana tehtiin myös ISO 27001 sertifiointiprojektia Pirkanmaalla sijaitsevalle yritykselle. Yrityksen toiminnot on tarkoitus virtaviivaistaa standardin mukaiseksi ja lopulta sertifioida koko yritys ISO 27001 –standardiin. Opinnäytetyössä kuvataan standardin toteutuksen prosessi, mutta ei kuitenkaan syvennytä itse standardointiprosessin etenemiseen yrityksessä.