Tietoturvallisuuden kehittäminen Yritys Oy:ssä

Abstract

Tämän toiminnallisen opinnäytetyön tarkoitus on ollut selvittää, mitä asioita kohdeyrityksen on huomioitava, kun laaditaan tietoturvallisuuden hallintajärjestelmää. Tarve opinnäytetyölle ilmaantui, kun Yritys Oy (nimi muutettu) tunnisti tietoturvallisuuden kehittämistarpeensa. Hankkeen tarkoituksena oli kehittää yrityksen yleistä toiminnan laatua, parantaa kilpailukykyä ja vastata asiakkaiden muuttuviin tietoturvatarpeisiin. Hankkeessa tunnistettiin organisaation tietoturvallisuustavoitteet ja määriteltiin organisaation tietoturvapolitiikka. Siihen liittyy tur-vamekanismien luominen sekä niiden käyttö tietoturvariskien hallintaan. Opinnäytetyön teoreettinen viitekehys koostuu turvallisuusjohtamisen, riskienhallinnan sekä tietoturvallisuuden hallintajärjestelmän tutkimuksesta. Viitekehyksenä hallintamallissa on käytetty soveltaen ISO 27001 ja 17799 -standardeja. Tässä toiminnallisessa opinnäytetyössä yhdistyvät käytännön toteutus ja kehittäminen tutkimuksellisten työkalujen avulla työelämä-kontekstissa ja työn raportointi tapahtuu tutkimusviestinnän keinoin. Tietoturvallisuus on ennen kaikkea yrityksen johdon asia ja se oli mukana, kun määriteltiin tietoturvallisuuden hallintajärjestelmän kattavuus ja rajat. Työssä tunnistettiin yrityksen ris-kit sekä analysoitiin ja arvioitiin riskien vaikutukset. Yritykselle luotiin ja otettiin käyttöön riskienhallintasuunnitelma, jonka avulla saavutetaan tunnistetut valvontatavoitteet ja joka ottaa huomioon kustannukset sekä osoittaa roolit ja vastuut. Liiketoiminnan jatkuvuuden hal-lintaan liittyen tietoturvallisuus sisällytettiin liiketoiminnan jatkuvuuden hallintaprosessiin. Sen avulla otettiin käyttöön suunnitelmat, joilla yrityksen liiketoiminta saadaan ylläpidettyä ja palautettua sekä tiedon saatavuus varmistettua vaaditulla tasolla ja vaadituissa aikarajois-sa kriittisten liiketoimintaprosessien keskeytymisen tai toimintahäiriön jälkeen.

The purpose of this functional thesis was to discover what issues the target company has to consider when establishing an information security management system (ISMS). This informa-tion was needed when Company X (name changed) identified its information security devel-opment needs. The purpose of this development project is to improve the company's overall quality of operations and improve the competitiveness and meet customers' changing security needs. The objective of this project was to understand an organization´s information security requirements and the need to establish a policy and objectives for information security. It involves implementing and operating controls to manage an organization´s information secu-rity risks. The theoretical framework of reference contains the research of corporate security manage-ment, risk management and information security management system. The framework of the ISMS comprises of two international standards ISO 27001 and ISO 17799. This functional thesis combines the practical implementation and development of the research tools in the context of work and reporting is conducted using research communications methods.. Security is first and foremost the responsibility of the company’s management and it was in-volved when the scope and boundaries of the information security management system were defined. This project identified the risks and analyzed and evaluated the risks. A risk treat-ment plan was implemented for the company in order to achieve the indentified control ob-jectives, which includes consideration of funding and allocation of roles and responsibilities. Relating to business continuity management, information security was included in the busi-ness continuity management process. It allows the introduction of plans implemented to maintain or restore operations and ensure the availability of information at the required level and in the required time scales following interruption to or failure of the critical business process.