Yhtiön tietoturvallisuuden standardisointi ja standardisoinnista saatavat hyödyt

Abstract

Tietoturvallisuudenhallintajärjestelmällä keskitetään kaikki tietoturvallisuuteen liittyvät asiat ja hallitaan niitä. Hallintajärjestelmä koostuu useasta eri osasta. Näitä osia käsitellään standardisarjassa SFS-EN ISO/IEC 27000. Työn tavoitteena oli valmistella yhtiön tietoturvajärjestelmä ulkoista auditointia ja sertifiointia varten. Työssä perehdytään tietoturvallisuudenhallintajärjestelmän standardisointiin, keskittyen tietoturvariskien hallintaan. Riskienhallinnalla pyritään pienentämään riskejä. Työssä käydään läpi standardien SFS-EN ISO/IEC 27000-27005 mukaista tietoturvariskien hallintaa. Yhtiön tietoturvallisuutta pyrittiin valmistelemaan sisäistä auditointia varten. Työ aloitettiin perehtymällä SFS-EN ISO/IEC 27000 standardisarjaan. Niistä saatiin selville tietoturvan hallinnan eri osat ja tämän avulla määritettiin lähtökohta työlle. Tietoturvan riskienhallinnanohjeistus tehtiin standardin SFS-ISO/IEC 27005 mukaisella tavalla. Standardisarja ohjeistaa jatkuvaan tietoturvalliseen parantamiseen. Ajantasaisella tietoturvallisuuden hallintajärjestelmällä pystytään takamaan tavoiteltu tietoturvallisuustaso. Työssä saavutettiin asetetut tavoitteet. Opinnäytetyön tuloksena yhtiö on paremmin valmistautunut ulkoista auditointia ja sertifiointia varten. Tuloksena syntyi standardien mukaiset ohjeistukset ja dokumentointipohjat tietoturvallisuuden riskienhallintaan.

Information security management systems hold all the information security of an organization and they are used to control it. A management system consists of many different parts. Standard series SFS-EN ISO/IEC 27000 deals with all the parts of an information management system. The main point of the thesis was to prepare a company’s information security risk management for external audit and certification. In the thesis the standardisation of an information security management system was studied. The focus of the thesis was on the standardisation of information risk management. Information risk management was used to lessen the effects of risks. The work centered on the SFS-EN ISO/IEC 27000-27005 information security risk management. The main point was to prepare the company’s information security for internal audit. The work started by reading up on the SFS-EN ISO/IEC 27000 standard series. The series helped with defining the starting point for the thesis. Information security risk management templates were standardized. This was done according to the SFS-ISO/IEC 27005 which was the information security risk management standard. The standard series SFS-EN ISO/IEC 27000 guides organizations for continual improvement. Only with an up-to-date information security management system can a target information security level be reached. This thesis reached its main goals. The company is now better prepared for external audit and certification. The results of the thesis are the standardized guidelines and documentation templates for information security risk management.