Tietoturvapoikkeusprosessin kehitys : ISO27001, BTS standardin ja NIS2 mukainen poikkeusprosessi

Abstract

Tapaustutkimuksena toteutetussa kehitystyössä selvitettiin kohdeorganisaation nykyisen tietoturvapoikkeusprossin haasteita ja mahdollisia kehityssuuntia. Tietoturvapoikkeuksista ei löytynyt merkittävästi aikaisempaa tutkimustietoa, eikä sitä kaikissa aikaisemmissa tutkimuksissa tunnistettu tieto- ja kyberturvallisuuden riskienhallinnan menetelmäksi. Tässä tutkimuksessa määriteltiin tietoturvapoikkeus ja esiteltiin kontekstia sen luonteesta. Tutkielmassa päädyttiin tietoturvapoikkeuksienhallinnan olevan läheisesti riippuvainen tieto- ja kyberturvallisuuden ongelmien- ja riskienhallinnasta, sekä niiden jakavan yhtenevän tavoitteen keskenään. Tutkimuksellinen kehitystyö tähtäsi nykyisen tietoturvapoikkeusprosessin haasteiden ja kehityskohteiden tunnistamiseen, joiden perusteella yhdessä kirjallisuuden ja viitekehysten näkökulmia hyödyntäen esiteltiin mahdollisesti sovellettava kehitysaihio uudesta tietoturvapoikkeusprosessista. Kehitystyössä huomioitiin erityisesti kohdeorganisaatiossa sovellettavien ISO27001 mukaisen tietoturvallisuuden hallintamallin, Business Technology Standardin ja NIS2-direktiivin vaatimukset. Esitellyssä kehitysaihiossa korostetaan erityisesti ongelman- ja riskienhallinnan roolia syntyvien tietoturvapoikkeuksien ratkaisemisessa.

This thesis was conducted as given development work which were carried out as a case study, to identify the challenges and potential development directions of the organization's current information security exception process. There was not significant previous research data available on information security exceptions as in some earlier studies, it was not recognized method for information risk management. In this study, the concept of an information security exception was defined while presenting context. The research concluded that the management of information security exceptions is closely associated with information security problem and risk management, and that they share a common goal. The research-driven development work aimed to identify the challenges and areas for improvement in the current information security exception process, and based on these, along with insights from literature and frameworks, an applicable development concept for a new information security exception process was proposed. The development work considered the applied requirements of the ISO27001, BTS, and NIS2 directive. The proposed development concept emphasizes the role of problem and risk management in resolving emerging information security exceptions.