Tietoturvallisuuden kehittäminen ISO/IEC 27001 -standardin vaatimusten mukaisesti
Lindroos, Mika (2019)
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019111521312
https://urn.fi/URN:NBN:fi:amk-2019111521312
Tiivistelmä
Tässä opinnäytetyössä kuvataan ISO/IEC 27001 -standardin mukaisen tietoturvallisuuden hallintajärjestelmän vaatimukset Erillisverkot Oy:n tytäryhtiölle sekä selvitetään miten nämä vaatimukset pystytään täyttämään. Opinnäytetyön teoriaosuudessa käsitellään standardin vaatimukset ja kehityshankeosuudessa kuvataan millaisilla menetelmillä tavotteiden täyttymistä on analysoitu.
Opinnäytetyö on luonteeltaan kehitystehtävä ja sen tärkein tavoite oli tuottaa dokumentti, jossa verrataan yrityksen nykytilaa suhteessa ISO/IEC 27001 -standardin vaatimuksiin.
Riskien tunnistamiseksi tehtiin laadullinen kyselytutkimus, jonka tavoitteena oli tuottaa tietoa mahdollisista riskitekijöistä.
Opinnäytetyön tuotoksena saavutettiin kattava dokumentti yhtiön nykytilasta ja toimenpiteistä, joita standardin vaatimusten täyttäminen edellyttää. Kyselytutkimuksen avulla tunnistettiin useita mahdollisia riskitekijöitä, joita hyödynnettiin riskienhallinnassa.
Tuotetun dokumentin avulla yritys sai selkeän kuvan puutteista, jotka vielä pitäisi täyttää. Lisäksi tämän kehitystehtävän avulla hankittujen tietojen avulla yritys kykenee laajentamaan ISO/IEC 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää muihinkin organisaationsa osiin. The purpose of the present Master’s thesis was to describe information security management system requirements according to the ISO/IEC 27001 -standard for the subsidiary of Erillisverkot Oy and to study how these requirements can be achieved. The theoretical part of the thesis discusses the requirements of the standard and the development part addresses the methods used to analyze the achievement goals.
The thesis is a development project and its main goal was to produce a document that compares the current state of the business with the requirements of the ISO/IEC 27001 -standard.
In order to identify the risks, a qualitative survey was conducted with the aim of providing information about potential risk factors.
The result of this thesis is a comprehensive document on the company's current status and the measures required to meet the requirements of the standard. The survey also identified potential risk factors which were utilized in risk management.
The document provides the company with a clear picture of the shortcomings which need to be rectified. The information, which was gathered during this development project, can help the company to extend its ISO/IEC 27001 based information security management system to other parts of the organization.
Opinnäytetyö on luonteeltaan kehitystehtävä ja sen tärkein tavoite oli tuottaa dokumentti, jossa verrataan yrityksen nykytilaa suhteessa ISO/IEC 27001 -standardin vaatimuksiin.
Riskien tunnistamiseksi tehtiin laadullinen kyselytutkimus, jonka tavoitteena oli tuottaa tietoa mahdollisista riskitekijöistä.
Opinnäytetyön tuotoksena saavutettiin kattava dokumentti yhtiön nykytilasta ja toimenpiteistä, joita standardin vaatimusten täyttäminen edellyttää. Kyselytutkimuksen avulla tunnistettiin useita mahdollisia riskitekijöitä, joita hyödynnettiin riskienhallinnassa.
Tuotetun dokumentin avulla yritys sai selkeän kuvan puutteista, jotka vielä pitäisi täyttää. Lisäksi tämän kehitystehtävän avulla hankittujen tietojen avulla yritys kykenee laajentamaan ISO/IEC 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää muihinkin organisaationsa osiin.
The thesis is a development project and its main goal was to produce a document that compares the current state of the business with the requirements of the ISO/IEC 27001 -standard.
In order to identify the risks, a qualitative survey was conducted with the aim of providing information about potential risk factors.
The result of this thesis is a comprehensive document on the company's current status and the measures required to meet the requirements of the standard. The survey also identified potential risk factors which were utilized in risk management.
The document provides the company with a clear picture of the shortcomings which need to be rectified. The information, which was gathered during this development project, can help the company to extend its ISO/IEC 27001 based information security management system to other parts of the organization.