ISO/IEC 27001 standardin mukainen puuteanalyysi
Mantere, Marko (2019)
2019
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201904094713
https://urn.fi/URN:NBN:fi:amk-201904094713
Tiivistelmä
Insinöörityössä kartoitettiin puuteanalyysin avulla kohdeyrityksen tietoturvan tilaa vertaamalla sitä ISO/IEC 27001 -standardin vaatimuksiin. Opinnäytetyön tavoitteena oli tuottaa puuteanalyysiraportti, josta selviäisi, millä osa-alueilla tietoturvasta löytyy puutteita ja ylätason suositukset tietoturvan tilan parantamiseksi.
Työ suoritettiin noudattamalla ISO/IEC 27001 -standardin sertifioimiskäytäntöjä eli suorittamalla yrityksen tietoturvan kannalta keskeisten dokumenttien katselmointi ja henkilöstön haastattelu. Puuteanalyysi rajattiin organisaation palvelunhallinnan ja tietoturvan kannalta kriittisimpiin osiin.
Puuteanalyysi paljasti puutteita yrityksen tietoturvassa. Standardin osa-alueista suhteellisesti eniten puutteita löytyi toimittajien hallinnasta ja jatkuvuuden hallinnasta. Myös vaatimustenmukaisuuden, käyttöturvallisuuden ja viestintäturvallisuuden osa-alueet sisälsivät merkittäviä puutteita. Näiden puutteiden korjaamiseksi tekijä suosittelee standardin mukaisen tietoturvanhallintajärjestelmän käyttöönottoa.
Lopputuloksena syntyi raportti ISO/IEC 27001 -standardin 114 tietoturvakontrollin tilasta kohdeyrityksessä. Tätä raporttia ja sen suosituksia voidaan käyttää tietoturvan kehittämiseksi lähitulevaisuudessa.
Työ suoritettiin noudattamalla ISO/IEC 27001 -standardin sertifioimiskäytäntöjä eli suorittamalla yrityksen tietoturvan kannalta keskeisten dokumenttien katselmointi ja henkilöstön haastattelu. Puuteanalyysi rajattiin organisaation palvelunhallinnan ja tietoturvan kannalta kriittisimpiin osiin.
Puuteanalyysi paljasti puutteita yrityksen tietoturvassa. Standardin osa-alueista suhteellisesti eniten puutteita löytyi toimittajien hallinnasta ja jatkuvuuden hallinnasta. Myös vaatimustenmukaisuuden, käyttöturvallisuuden ja viestintäturvallisuuden osa-alueet sisälsivät merkittäviä puutteita. Näiden puutteiden korjaamiseksi tekijä suosittelee standardin mukaisen tietoturvanhallintajärjestelmän käyttöönottoa.
Lopputuloksena syntyi raportti ISO/IEC 27001 -standardin 114 tietoturvakontrollin tilasta kohdeyrityksessä. Tätä raporttia ja sen suosituksia voidaan käyttää tietoturvan kehittämiseksi lähitulevaisuudessa.