Yrityksen asiakastukipalvelun mukauttaminen ISO 27001 -standardin mukaiseksi
Pehkonen, Kaapo (2025)
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025051311131
https://urn.fi/URN:NBN:fi:amk-2025051311131
Tiivistelmä
Opinnäytetyön taustalla oli Funlus Oy:n tarve mukauttaa asiakastukipalvelunsa toimintaa ISO 27001 -standardin vaatimusten mukaiseksi. Tavoitteena oli luoda asiakastuelle järjestelmällinen ja dokumentoitu tietoturvan hallintajärjestelmä, joka voisi toimia perustana tulevalle ISO 27001 -sertifioinnille sekä vastata kasvaviin vaatimuksiin tietoturvan saralla.
Työ toteutettiin vuosien 2024–2025 aikana Funlus Oy:n toimeksiantona. Menetelminä käytettiin uhkamallinnusta, riskienarviointia ja vertailua standardin vaatimuksiin. Tietoturvan nykytila analysoitiin ja siihen pohjautuen määriteltiin kehitystoimenpiteet. Kehityksessä hyödynnettiin hyviä käytäntöjä, kuten pääsynhallinnan tarkentamista, henkilöstön tietoturvakoulutuksia ja toimintatapojen dokumentointia.
Työn tuloksena laadittiin asiakastukipalvelulle uhkamallinnus ja riskirekisteri, jotka nostivat esiin merkittävimmät tietoturvauhat. Näihin uhkiin suunniteltiin hallintakeinoja tietoturvan parantamiseksi. Lisäksi määriteltiin jatkuvan kehittämisen prosessi, jolla varmistettiin tietoturvan jatkuva parantaminen. Tuloksia tarkasteltiin ISO 27001 -standardin vaatimuksia vasten, ja niiden todettiin vastaavan olennaisia vaatimuksia kattavasti.
Johtopäätöksenä todettiin, että asiakastukipalvelun tietoturva pystyttiin järjestelmällisesti kehittämään vastaamaan ISO 27001 -standardin ydinkriteerejä. Työ tarjosi Funlus Oy:lle selkeän pohjan sertifiointiprosessin käynnistämiselle sekä vahvisti organisaation kykyä reagoida muuttuviin uhkiin ja lainsäädännöllisiin vaatimuksiin, mukaan lukien NIS2-direktiivin tuomat velvoitteet. The aim of this thesis was to adapt the operations of Funlus Oy’s customer support service to meet the requirements of the ISO 27001 standard and to strengthen the overall information security of the company. Another objective was to create a systematic and documented information security management system for the customer support service, which could serve as a foundation for future ISO 27001 certification and respond to the growing demands in the field of information security.
The project was carried out between 2024 and 2025 as a commission from Funlus Oy. Methods used included threat modeling, risk assessment, and comparison with the standard's requirements. The current state of information security was analyzed, and development measures were defined based on the findings. The development work utilized best practices such as refining access control, providing information security training for staff, and documenting operational procedures.
As a result of the project, a threat model and risk register were created for the customer support service, highlighting the most significant information security threats. Control measures were designed to mitigate these risks and improve security. In addition, a continuous improvement process was defined to ensure ongoing enhancement of information security. The results were evaluated against the requirements of the ISO 27001 standard and were found to comprehensively meet the essential criteria.
In conclusion, the information security of the customer support service was successfully developed in a systematic way to align with the core criteria of the ISO 27001 standard. The work provided Funlus Oy with a solid foundation for initiating the certification process and strengthened the organization’s ability to respond to evolving threats and regulatory requirements, including the obligations introduced by the NIS2 directive.
Työ toteutettiin vuosien 2024–2025 aikana Funlus Oy:n toimeksiantona. Menetelminä käytettiin uhkamallinnusta, riskienarviointia ja vertailua standardin vaatimuksiin. Tietoturvan nykytila analysoitiin ja siihen pohjautuen määriteltiin kehitystoimenpiteet. Kehityksessä hyödynnettiin hyviä käytäntöjä, kuten pääsynhallinnan tarkentamista, henkilöstön tietoturvakoulutuksia ja toimintatapojen dokumentointia.
Työn tuloksena laadittiin asiakastukipalvelulle uhkamallinnus ja riskirekisteri, jotka nostivat esiin merkittävimmät tietoturvauhat. Näihin uhkiin suunniteltiin hallintakeinoja tietoturvan parantamiseksi. Lisäksi määriteltiin jatkuvan kehittämisen prosessi, jolla varmistettiin tietoturvan jatkuva parantaminen. Tuloksia tarkasteltiin ISO 27001 -standardin vaatimuksia vasten, ja niiden todettiin vastaavan olennaisia vaatimuksia kattavasti.
Johtopäätöksenä todettiin, että asiakastukipalvelun tietoturva pystyttiin järjestelmällisesti kehittämään vastaamaan ISO 27001 -standardin ydinkriteerejä. Työ tarjosi Funlus Oy:lle selkeän pohjan sertifiointiprosessin käynnistämiselle sekä vahvisti organisaation kykyä reagoida muuttuviin uhkiin ja lainsäädännöllisiin vaatimuksiin, mukaan lukien NIS2-direktiivin tuomat velvoitteet.
The project was carried out between 2024 and 2025 as a commission from Funlus Oy. Methods used included threat modeling, risk assessment, and comparison with the standard's requirements. The current state of information security was analyzed, and development measures were defined based on the findings. The development work utilized best practices such as refining access control, providing information security training for staff, and documenting operational procedures.
As a result of the project, a threat model and risk register were created for the customer support service, highlighting the most significant information security threats. Control measures were designed to mitigate these risks and improve security. In addition, a continuous improvement process was defined to ensure ongoing enhancement of information security. The results were evaluated against the requirements of the ISO 27001 standard and were found to comprehensively meet the essential criteria.
In conclusion, the information security of the customer support service was successfully developed in a systematic way to align with the core criteria of the ISO 27001 standard. The work provided Funlus Oy with a solid foundation for initiating the certification process and strengthened the organization’s ability to respond to evolving threats and regulatory requirements, including the obligations introduced by the NIS2 directive.