Tietoturvallisuuden hallintajärjestelmän käyttöönotto organisaatiossa
Salonen, Janne (2020)
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202005067487
https://urn.fi/URN:NBN:fi:amk-202005067487
Tiivistelmä
Tässä opinnäytetyössä tutkitaan tapaustutkimuksen ja konstruktiivisen menetelmän keinoin, miten ISO/IEC 27001 -standardin mukainen tietoturvallisuuden hallintajärjestelmä luodaan, toteutetaan ja ylläpidetään organisaatiossa jatkuvan parantamisen periaatteen mukaisesti, jotta prosessin osalta voidaan ymmärtää, mitä odottaa, vaatia ja välttää. Näistä tiedoista hyötyvät erityisesti tietoturvapäälliköt ja –asiantuntijat, jotka ovat kiinnostuneita edistämään standardin mukaisen hallintajärjestelmän käyttöä organisaatioissaan.
Tietoturvallisuuden hallintajärjestelmän käyttöönotto on mielekkäintä nähdä organisaation strategisena päätöksenä, koska se vaikuttaa perinpohjaisesti tietoturvallisuustoimintaan ja -toimintoihin sen jälkeen, kun se toteutetaan organisaation tarpeiden mukaisena. Standardin vaatimukset, teoreettiset mallit ja tapaustutkimuksen tutkimusmenetelmät muodostavat kokonaisuuden, jota analysoidaan systemaattisesti ja sovelletaan konstruktiivisesti. Kolme tässä opinnäytetyössä esiteltävää tapausta ovat keksittyjä ja niiden on tarkoitus osoittaa, millaisia todelliset esteet ja hidasteet voivat olla, kun siirrytään aiemmista tietoturvallisuuden hallinnoinnin tavoista käyttämään standardin mukaista hallintajärjestelmää.
Teoreettinen viitekehys on Socio-technical Systems –malli, koska se soveltuu projekteihin, joiden tarkoituksena ovat organisaatiota kehittävät tehtävät kuten tietojärjestelmäkehitys tai tietoturvan järjestelmän parantaminen. On suositeltavaa hyödyntää teoreettisia viitekehyksiä, joiden avulla prosessia voidaan edistää. Opinnäytetyön tulokset osoittavat, että kolmen mahdollisen tapauksen ongelmien syyt pyrittäessä standardin mukaiseen hallintajärjestelmään johtuivat puutteellisesta ja epäselvästä tietoturvapolitiikasta, viestinnän vaikeuksista ja epäorganisoidusta tavasta tallentaa ja dokumentoida tietoa organisaatiossa. Opinnäytetyön tulosten perusteella on suositeltavaa, että standardi luetaan ja sisäistetään huolellisesti ja että ongelmien ilmetessä hyödynnetään teoreettisia menetelmiä, jotka nimetään tuonnempana, mikäli ne sopivat organisaation luonteeseen ja rakenteeseen. On tärkeää, että ISO/IEC 27001 –standardia toteutetaan asiantuntijoiden johdolla, jotka osaavat edistää prosessia ammattimaisesti ja käytännöllisen tietotaitonsa avulla.
Tietoturvallisuuden hallintajärjestelmän käyttöönotto on mielekkäintä nähdä organisaation strategisena päätöksenä, koska se vaikuttaa perinpohjaisesti tietoturvallisuustoimintaan ja -toimintoihin sen jälkeen, kun se toteutetaan organisaation tarpeiden mukaisena. Standardin vaatimukset, teoreettiset mallit ja tapaustutkimuksen tutkimusmenetelmät muodostavat kokonaisuuden, jota analysoidaan systemaattisesti ja sovelletaan konstruktiivisesti. Kolme tässä opinnäytetyössä esiteltävää tapausta ovat keksittyjä ja niiden on tarkoitus osoittaa, millaisia todelliset esteet ja hidasteet voivat olla, kun siirrytään aiemmista tietoturvallisuuden hallinnoinnin tavoista käyttämään standardin mukaista hallintajärjestelmää.
Teoreettinen viitekehys on Socio-technical Systems –malli, koska se soveltuu projekteihin, joiden tarkoituksena ovat organisaatiota kehittävät tehtävät kuten tietojärjestelmäkehitys tai tietoturvan järjestelmän parantaminen. On suositeltavaa hyödyntää teoreettisia viitekehyksiä, joiden avulla prosessia voidaan edistää. Opinnäytetyön tulokset osoittavat, että kolmen mahdollisen tapauksen ongelmien syyt pyrittäessä standardin mukaiseen hallintajärjestelmään johtuivat puutteellisesta ja epäselvästä tietoturvapolitiikasta, viestinnän vaikeuksista ja epäorganisoidusta tavasta tallentaa ja dokumentoida tietoa organisaatiossa. Opinnäytetyön tulosten perusteella on suositeltavaa, että standardi luetaan ja sisäistetään huolellisesti ja että ongelmien ilmetessä hyödynnetään teoreettisia menetelmiä, jotka nimetään tuonnempana, mikäli ne sopivat organisaation luonteeseen ja rakenteeseen. On tärkeää, että ISO/IEC 27001 –standardia toteutetaan asiantuntijoiden johdolla, jotka osaavat edistää prosessia ammattimaisesti ja käytännöllisen tietotaitonsa avulla.