PK-yrityksen tietoturvasuunnitelman laatiminen

Abstract

Opinnäytetyössä selvitettiin, mitä asioita pk-yrityksen on huomioitava, kun laaditaan tietoturvasuunnitelmaa. Tarve tutkimukselle ilmaantui, kun Yritys X (nimi muutettu) käynnisti koko organisaation laajuisen projektin tietoturvan kehittämiseksi. Projektin tarkoituksena oli kehittää heidän yleistä toiminnan laatua, parantaa kilpailukykyä ja vastata asiakkaiden muuttuviin tietoturvatarpeisiin. Tutkimus tehtiin toimeksiantona IT-alan yritykselle, mutta aihetta lähestyttiin silti yleisestä näkökulmasta. Tavoitteena oli toteuttaa dokumentaatio, jonka avulla mikä tahansa pk-yritys voi kehittää omaa tietoturvatyöskentelyään ja luoda oman tietoturvasuunnitelman. Työn teoriaosuudessa painotettiin tietoturvasuunnitelmaan liittyvien asioiden esittelyä. Ensimmäiseksi tutustuttiin yleisiin aiheeseen liittyviin termeihin ja käsitteisiin. Perusasioiden selvittämisen jälkeen esitettiin tietoturvan osa-alueet ja tutkittiin samalla niiden osuutta tietoturvasuunnitelman laatimisessa. Teoriatietoa havainnollistettiin esimerkeillä siitä, miten lukija voi toteuttaa tietoturvaa omassa yrityksessään. Opinnäytetyön empiirisessä osiossa toteutettiin toimeksiantajalle heidän käyttöönsä sopiva tietoturvasuunnitelma. Dokumentti laadittiin teoriaosuudesta saatavien tietojen perusteella, jotka ovat myös tiivistetysti taulukkomuodossa työn liiteosiossa. Taulukot perustuivat laadukkaisiin lähteisiin, kuten viralliseen tietoturvastandardiin. Empiirinen osuus julistettiin toimeksiantajan toiveesta salaiseksi, koska dokumentti sisältää luottamuksellista tietoa. Lopputuloksena valmistunut tietoturvasuunnitelma mahdollistaa toimeksiantajan tietoturvatyöskentelyn jatkuvuuden ja tehokkaamman kehityksen.

The main purpose of this thesis was to find out what kind of things small and medium-sized business has to think about when building an information security plan. This information were needed when Company X (name changed) decided to launch organization wide project to develop their information security, improve competitiveness and answer the customers rising information security needs. The study was made as an assignment for Information Technology company but the subject was approached from common view. The goal was to produce documentation that was usable by any small to medium-sized business who wants to improve their information security or build and information security plan. Question related to information security plan were highlighted in the theory section of the thesis. First the reader was introduced to common terms and concepts. After that the information security plan was studied trough the eight sections of information security. Examples were given to understand the theory better and to show how the reader can enhance his own business information security. The knowledge gained from the theory was used to build an information security plan for Company X. The document was declared as secret because of the business critical data included in it. Appendix part of the thesis contains public information for all about the most commons things to take care of when building an information security plan.