Ehdotus ISO/IEC 27001 standardin vaatimukset täyttävästä riskienhallintamallista
Tikka, Rauno (2020)
Tikka, Rauno
2020
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2020060216369
https://urn.fi/URN:NBN:fi:amk-2020060216369
Tiivistelmä
Opinnäytetyön tavoitteena oli luoda yritykselle ISO/IEC 27001 standardin vaatimukset täyttävä riskienhallintamalli. Työn tilaajana oli kansainvälinen tietoturva-alalla toimiva IT-Asiantuntijayritys. Projektin alkaessa yritys oli jo aloittanut projektin tulla ISO/IEC 27001 sertifioiduksi ja tämä työ on osa sitä kokonaisuutta. Yritys käyttää työkalunaan Certikitin dokumenttipohjia.
Tietoperustana käytettiin ISO/IEC 27000 standardisarjaa joista oleellisimmat ovat ISO/IEC 27001:2017 sekä ISO/IEC 27005:2018. ISO/IEC 27001 standardissa kuvataan tietoturvallisuuden hallintajärjestelmän vaatimukset ja riskienhallinta on oleellisessa osassa tietoturvallisuuden hallintajärjestelmää. Ohjestandardi ISO/IEC 27005:2018 käsittelee riskienhallintaa ja on tukena ISO/IEC 27001 standardin mukaiseen riskienhallintamalliin.
Opinnäytetyössä käydään aluksi läpi lyhyesti ISO/IEC 27001 standardi ja pidemmin ISO/IEC 27005 standardin sisältö sekä vaatimuksia. Tämän jälkeen esitellään lista yritykselle tuotetuista dokumenteista ja ehdottamani määrittelyt peruskriteereille, organisaation perustamiselle sekä esitellään ehdotettu riskienhallintaprosessi. Riskienhallinnan organisaatioksi ehdotettiin seuraavia rooleja: tietoturvan ohjausryhmä, tietoturvapäällikkö ja tietoturvan ylläpitäjä. Lopuksi ehdotan kahta vuosikelloa yritykselle. Kaksi sen takia, koska ensimmäinen on ensimmäiselle vuodelle sekä toinen on toiselle vuodelle. Etenkin toisen vuoden vuosikellon sisältö täytyy analysoida, kun ensimmäinen sykli on suoritettu. Lopulliset dokumentit kirjoitettiin Certikitin dokumenttipohjiin, jotka on määritelty salassa pidettäviksi. Riskienhallintamallia on kuitenkin vielä kehiteltävä etenkin viestinnän osalta, kun tietoturvallisuuden hallintajärjestelmän viestintätavat ovat vasta vakioitumassa.
Tietoperustana käytettiin ISO/IEC 27000 standardisarjaa joista oleellisimmat ovat ISO/IEC 27001:2017 sekä ISO/IEC 27005:2018. ISO/IEC 27001 standardissa kuvataan tietoturvallisuuden hallintajärjestelmän vaatimukset ja riskienhallinta on oleellisessa osassa tietoturvallisuuden hallintajärjestelmää. Ohjestandardi ISO/IEC 27005:2018 käsittelee riskienhallintaa ja on tukena ISO/IEC 27001 standardin mukaiseen riskienhallintamalliin.
Opinnäytetyössä käydään aluksi läpi lyhyesti ISO/IEC 27001 standardi ja pidemmin ISO/IEC 27005 standardin sisältö sekä vaatimuksia. Tämän jälkeen esitellään lista yritykselle tuotetuista dokumenteista ja ehdottamani määrittelyt peruskriteereille, organisaation perustamiselle sekä esitellään ehdotettu riskienhallintaprosessi. Riskienhallinnan organisaatioksi ehdotettiin seuraavia rooleja: tietoturvan ohjausryhmä, tietoturvapäällikkö ja tietoturvan ylläpitäjä. Lopuksi ehdotan kahta vuosikelloa yritykselle. Kaksi sen takia, koska ensimmäinen on ensimmäiselle vuodelle sekä toinen on toiselle vuodelle. Etenkin toisen vuoden vuosikellon sisältö täytyy analysoida, kun ensimmäinen sykli on suoritettu. Lopulliset dokumentit kirjoitettiin Certikitin dokumenttipohjiin, jotka on määritelty salassa pidettäviksi. Riskienhallintamallia on kuitenkin vielä kehiteltävä etenkin viestinnän osalta, kun tietoturvallisuuden hallintajärjestelmän viestintätavat ovat vasta vakioitumassa.