Developing an Information Security Management System

Abstract

The purpose of this thesis was to study development of an information security management system and study the resources and components, which combined create a functional information security management system. To reach the target objective, the thesis first examines the international and international legislation regarding information security. Secondly, the information security related international and national standards and frameworks are analyzed and compared. Finally the outcome of thesis is presented as a reflection of previously studied components of information security management systems.

This thesis was carried out as a basic research to expand the knowledge of the phenomena and develop current practices. Literature overview was used as the research method, as it is the most eligible method to explore the aims of this study. Literature overview was selected to collect in-depth data of the phenomena.

The results of this study indicate that the national legislation related to information security in Finland is not one unified entity, but is fragmented in various regulations. It requires plenty of expertise to gather relevant parts of the legislation in a company to form a functional information security management system. The study also indicates that there are various information security management standards. The international standards and frameworks are wider and can be applied to various organisations as is. The national standards are intended for a specific purpose and require more expertise in order to be applied in an organisation.

Tämän opinnäytetyön tarkoituksena oli perehtyä tietoturvallisuuden johtamisjärjestelmän kehittämiseen, sekä tutkia sen vaatimia komponentteja ja resursseja, jotka yhdessä luovat toimivan tietoturvallisuuden johtamisjärjestelmän. Tavoitteen saavuttamiseksi opinnäytetyössä käydään ensimmäiseksi läpi kansallista ja kansainvälistä lainsäädäntöä liittyen tietoturvallisuuteen. Toiseksi, opinnäytetyössä tutkitaan ja verrataan kansallisia ja kansainvälisiä tietoturvan standardeja ja viitekehyksiä. Lopuksi opinnäytetyössä esitellään lainsäädännön, standardien ja viitekehyksien vaikutuksia tietoturvallisuuden johtamisjärjestelmiin.

Opinnäytetyö toteutettiin perustutkimuksena, jonka avulla pystyttiin laajentamaan tietämystä ilmiöstä, sekä kehittämään nykyisiä käytäntöjä. Opinnäytetyön tutkimusmenetelmänä käytettiin kirjallisuuskatsausta, koska se tarjosi parhaiten tavoitellun tietoaineiston keräämisen. Kirjallisuuskatsauksen avulla oli mahdollista kerätä syvällistä tietoa tietoturvallisuuden joh-tamisesta ja muista siihen liittyvistä ilmiöistä.

Tämän tutkimuksen tulokset osoittavat, että tietoturvallisuuteen liittyvä kansallinen lainsäädäntö ei ole Suomessa yksi yhtenäinen kokonaisuus, vaan se jakautuu useisiin eri asetuksiin. Toimivan tietoturvallisuusjohtamisjärjestelmän laatiminen vaatii huomattavasti asiantuntemusta, jotta osataan ottaa huomioon organisaatiota koskevat osat lainsäädännöstä. Tutkimus osoitti myös, että on olemassa useita tietoturvallisuuden hallintaan tarkoitettuja standardeja. Kansainväliset tietoturvallisuuteen liittyvät standardit ovat sisällöltään laajempia ja niitä voidaan hyödyntää sellaisenaan useaan organisaatioon. Kansalliset standardit ovat tehty tiettyjä tarkoituksia varten ja vaativat laajaa osaamista, jotta niitä voidaan soveltaa organisaatioissa.