Enhancing ISO/IEC 27001 Audit Readiness with Standardised Documentation
Johnston, Elina; Teräväinen, Jenna (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-202503124130
https://urn.fi/URN:NBN:fi:amk-202503124130
Tiivistelmä
Opinnäytetyön tarkoituksena oli kehittää päivitetty, vaatimustenmukainen ja yhteistyöhön perustuva dokumentaatiokehikko, joka soveltuu kansainvälisesti toimivan yrityksen käyttöön ja jolla pyritään parantamaan ISO/IEC 27001 -auditointivalmiutta keskittymällä terveys-, turvallisuus- ja ympäristöjärjestelmän (HSE) dokumentointiin. Tavoitteina on parantaa vaatimustenmukaisuuden tehokkuutta, vähentää auditoinnin monimutkaisuutta sekä tukea tiedonhallintakäytäntöjen jatkuvaa parantamista. Projektin hyötyjät ovat opinnäytetyön tilaajaorganisaatio, joka on salassapitosopimusten alainen.
Kehitystehtävänä oli luoda skaalautuva ja standardoitu dokumentaatiokehikko, joka heijastelee yrityksen tiedonhallinnan valvontatoimenpiteitä uusimpien ISO/IEC 27001 -vaatimusten mukaisesti. Opinnäytetyön teoreettinen viitekehys perustuu ISO/IEC 27001 -standardiin ja sen valvontatoimenpiteisiin.
Käytetyt menetelmät sisältävät kattavan kirjallisuuskatsauksen ISO/IEC 27001 -valvontatoimenpiteistä ja niiden käytännön soveltamisesta yrityksessä. Tiedonkeruu perustui pääsyyn yrityksen konfiguraationhallinnan tietokantaan (CMDB), ja dokumentaatio suoritettiin käyttämällä Confluence -tietopankkia, jotta varmistettiin selkeästi järjestetty, helposti saatavilla oleva ja päivitettävä rakenne.
Projektin tuloksena on selkeä ja käytännöllinen dokumentaatiokehikko, joka toimii yhtenä pohjana HSE-sovellukseen liittyville auditointitodisteille. Tämä kehikko on suunniteltu helposti mukautettavaksi tuleville sovelluksille, ja vaatimustenmukaisuuden ylläpitämiseksi.
Analyysi osoittaa, että jäsennelty lähestymistapa dokumentointiin helpottaa merkittävästi auditointiprosessia, parantaa vaatimustenmukaisuutta sekä toimii arvokkaana tietolähteenä jatkuvaa parantamista varten. Kehikon roolipohjainen pääsy ja päivitysten helppous varmistavat dokumentaation tarkkuuden ja eheyden pitkälläkin aikavälillä.
Opinnäytetyö suosittelee kehikon laajaa käyttöönottoa muihin yrityksen sovelluksiin hyödyntäen sen skaalautuvuutta tulevien standardien ja valvontatoimenpiteiden sisällyttämiseksi. Tämä varmistaa jatkuvan vaatimustenmukaisuuden ja parannusten tiedonhallintakäytännöissä. The purpose of this study is to develop an updated, compliant, and collaborative documentation framework tailored for a globally operating company, aimed at enhancing ISO/IEC 27001 audit readiness focusing the documentation on a Health, Safety, and Environmental (HSE) system. The primary objectives are to improve compliance efficiency, reduce auditing complexities, and support continuous improvement in information security practices. The beneficiaries of this project are the company commissioning the thesis, which is subject to non-disclosure agreements.
The development task involved creating a scalable and standardized documentation framework that accurately reflects the company's information security management controls as per the latest ISO/IEC 27001 requirements. The theoretical framework of the thesis is informed by the ISO/IEC 27001 standard and its controls.
The methods taken were a comprehensive literary review of the ISO/IEC 27001 controls and their practical application within the company. Data collection was based on access to the company’s configuration management database (CMDB), and the documentation was carried out using Confluence to ensure an organized, accessible, and updatable structure.
The outcome of the project is a clear and practical documentation framework that serves as a single source of truth for audit evidence related to the HSE application. This framework is designed to be easily adaptable for future applications and to maintain compliance.
The analysis reveals that the structured approach to documentation significantly eases the auditing process, enhances compliance, and serves as a valuable knowledge base for ongoing improvements. The framework's role-based access and ease of updates ensure the long-term accuracy and integrity of the documentation.
In conclusion, the thesis recommends the widespread adoption of the framework to other applications within the company, leveraging its scalability to accommodate future standards and controls. This ensures continuous compliance and improvement in information security practices.
Kehitystehtävänä oli luoda skaalautuva ja standardoitu dokumentaatiokehikko, joka heijastelee yrityksen tiedonhallinnan valvontatoimenpiteitä uusimpien ISO/IEC 27001 -vaatimusten mukaisesti. Opinnäytetyön teoreettinen viitekehys perustuu ISO/IEC 27001 -standardiin ja sen valvontatoimenpiteisiin.
Käytetyt menetelmät sisältävät kattavan kirjallisuuskatsauksen ISO/IEC 27001 -valvontatoimenpiteistä ja niiden käytännön soveltamisesta yrityksessä. Tiedonkeruu perustui pääsyyn yrityksen konfiguraationhallinnan tietokantaan (CMDB), ja dokumentaatio suoritettiin käyttämällä Confluence -tietopankkia, jotta varmistettiin selkeästi järjestetty, helposti saatavilla oleva ja päivitettävä rakenne.
Projektin tuloksena on selkeä ja käytännöllinen dokumentaatiokehikko, joka toimii yhtenä pohjana HSE-sovellukseen liittyville auditointitodisteille. Tämä kehikko on suunniteltu helposti mukautettavaksi tuleville sovelluksille, ja vaatimustenmukaisuuden ylläpitämiseksi.
Analyysi osoittaa, että jäsennelty lähestymistapa dokumentointiin helpottaa merkittävästi auditointiprosessia, parantaa vaatimustenmukaisuutta sekä toimii arvokkaana tietolähteenä jatkuvaa parantamista varten. Kehikon roolipohjainen pääsy ja päivitysten helppous varmistavat dokumentaation tarkkuuden ja eheyden pitkälläkin aikavälillä.
Opinnäytetyö suosittelee kehikon laajaa käyttöönottoa muihin yrityksen sovelluksiin hyödyntäen sen skaalautuvuutta tulevien standardien ja valvontatoimenpiteiden sisällyttämiseksi. Tämä varmistaa jatkuvan vaatimustenmukaisuuden ja parannusten tiedonhallintakäytännöissä.
The development task involved creating a scalable and standardized documentation framework that accurately reflects the company's information security management controls as per the latest ISO/IEC 27001 requirements. The theoretical framework of the thesis is informed by the ISO/IEC 27001 standard and its controls.
The methods taken were a comprehensive literary review of the ISO/IEC 27001 controls and their practical application within the company. Data collection was based on access to the company’s configuration management database (CMDB), and the documentation was carried out using Confluence to ensure an organized, accessible, and updatable structure.
The outcome of the project is a clear and practical documentation framework that serves as a single source of truth for audit evidence related to the HSE application. This framework is designed to be easily adaptable for future applications and to maintain compliance.
The analysis reveals that the structured approach to documentation significantly eases the auditing process, enhances compliance, and serves as a valuable knowledge base for ongoing improvements. The framework's role-based access and ease of updates ensure the long-term accuracy and integrity of the documentation.
In conclusion, the thesis recommends the widespread adoption of the framework to other applications within the company, leveraging its scalability to accommodate future standards and controls. This ensures continuous compliance and improvement in information security practices.