Miten toteuttaa riskienhallinnan jatkuvuus ISO 27001 standardissa pienen yrityksen näkökulmasta?
Kuivalainen, Niina (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060118864
https://urn.fi/URN:NBN:fi:amk-2025060118864
Tiivistelmä
Tämän opinnäytetyön tarkoituksena on tutkia miten riskienhallinnan jatkuvuutta olisi mahdollista hallita pienen ohjelmistoyrityksen näkökulmasta. Toimeksiantaja on kotimainen yritys, jossa työskentelee reilut 40 henkilöä. Kohdeyrityksessä on käynnissä ISO 27001 sertifikaattiin tähtäävä projekti. Projekti alkoi keväällä 2024 ja aika pian projektiryhmälle kävi selväksi, että sertifikaatin eteen täytyy tehdä paljon töitä.
Yritystoimintaan liittyy aina riskejä, osa niistä on negatiivisia ja osa positiivisia. Yrityksen on hyvä tunnistaa omaan liiketoimintaansa liittyvät riskit, jotta niihin on helpompi varautua. Opinnäytetyössä paneudutaan siihen miksi riskienhallinta on tarpeellista ja mitä kaikkea se vaatii onnistuakseen. Kuten lähdekirjallisuudesta kävi ilmi niin kyseessä on laaja kokonaisuus, joka edellyttää sitoutumista yrityksen joka tasolta. Opinnäytetyön näkökulma oli negatiivisissa riskeissä.
Teoreettisessa viitekehyksessä esiteltiin ensin ISO 27001 standardin perusteita. Kyseessä on tunnettu standardi, jolla yritys voi osoittaa, että sen tietoturvan hallintajärjestelmä on toteutettu hyvien käytänteiden mukaisesti. Seuraavaksi tutkittiin riskienhallintaa. Sitä tarkasteltiin ensin yleisellä tasolla. Millaisia riskejä on ja miten niihin liittyviä seurauksia voi määritellä. Mitä riskienhallinta tarkoittaa käytännössä, miten yritys voi löytää riskienhallinnan optimitason. Kolmas osio teoreettisessa viitekehyksessä keskittyi jatkuvuussuunnitteluun ja jatkuvuudenhallintaan. Jatkuvuussuunnittelu on osa yrityksen riskienhallintaa ja tietoturvallisuutta. Se on päättymätön prosessi, joka vaatii sitoutumista, säännöllistä seurantaa ja ylläpitoa.
Opinnäytetyön varsinainen tutkimus tehtiin aivoriihenä. Siihen osallistui tutkimuksen tekijän lisäksi 6 osallistujaa kohdeyrityksestä. Aivoriihi toteutettiin verkkokokoussovelluksella ja tulokset kirjattiin virtuaaliselle kirjoitustauluille. Aivoriihessä ideoitiin ensin keinoja, miten riskienhallintaa kannattaisi järjestää ja seurata. Seuraavaksi näkökulma vaihdettiin mahdollisiin haasteisiin. Viimeiseksi tarkasteltiin tiettyjä riskipääryhmiä ja pohdittiin pitäisikö eri riskipääryhmiin kohdistaa erilaista jatkuvuudenseurantaa vai voidaanko kaikkia ryhmiä seurata samalla tavalla.
Lopputuloksena voi todeta, että yrityksen kannattaa ottaa riskienhallinta osaksi jatkuvaa toimintaansa riippumatta siitä onko tähtäimessä joku tietty sertifiointi vai ei. Joka tapauksessa riskienhallintatyöstä on yritykselle hyötyä, vaikka se vaatii varsinkin aluksi paljon työtä. On olennaista, että riskienhallinnasta tulee säännöllistä, prosessit ovat hyvin dokumentoitu ja mukana on sitoutuneita henkilöitä.
Yritystoimintaan liittyy aina riskejä, osa niistä on negatiivisia ja osa positiivisia. Yrityksen on hyvä tunnistaa omaan liiketoimintaansa liittyvät riskit, jotta niihin on helpompi varautua. Opinnäytetyössä paneudutaan siihen miksi riskienhallinta on tarpeellista ja mitä kaikkea se vaatii onnistuakseen. Kuten lähdekirjallisuudesta kävi ilmi niin kyseessä on laaja kokonaisuus, joka edellyttää sitoutumista yrityksen joka tasolta. Opinnäytetyön näkökulma oli negatiivisissa riskeissä.
Teoreettisessa viitekehyksessä esiteltiin ensin ISO 27001 standardin perusteita. Kyseessä on tunnettu standardi, jolla yritys voi osoittaa, että sen tietoturvan hallintajärjestelmä on toteutettu hyvien käytänteiden mukaisesti. Seuraavaksi tutkittiin riskienhallintaa. Sitä tarkasteltiin ensin yleisellä tasolla. Millaisia riskejä on ja miten niihin liittyviä seurauksia voi määritellä. Mitä riskienhallinta tarkoittaa käytännössä, miten yritys voi löytää riskienhallinnan optimitason. Kolmas osio teoreettisessa viitekehyksessä keskittyi jatkuvuussuunnitteluun ja jatkuvuudenhallintaan. Jatkuvuussuunnittelu on osa yrityksen riskienhallintaa ja tietoturvallisuutta. Se on päättymätön prosessi, joka vaatii sitoutumista, säännöllistä seurantaa ja ylläpitoa.
Opinnäytetyön varsinainen tutkimus tehtiin aivoriihenä. Siihen osallistui tutkimuksen tekijän lisäksi 6 osallistujaa kohdeyrityksestä. Aivoriihi toteutettiin verkkokokoussovelluksella ja tulokset kirjattiin virtuaaliselle kirjoitustauluille. Aivoriihessä ideoitiin ensin keinoja, miten riskienhallintaa kannattaisi järjestää ja seurata. Seuraavaksi näkökulma vaihdettiin mahdollisiin haasteisiin. Viimeiseksi tarkasteltiin tiettyjä riskipääryhmiä ja pohdittiin pitäisikö eri riskipääryhmiin kohdistaa erilaista jatkuvuudenseurantaa vai voidaanko kaikkia ryhmiä seurata samalla tavalla.
Lopputuloksena voi todeta, että yrityksen kannattaa ottaa riskienhallinta osaksi jatkuvaa toimintaansa riippumatta siitä onko tähtäimessä joku tietty sertifiointi vai ei. Joka tapauksessa riskienhallintatyöstä on yritykselle hyötyä, vaikka se vaatii varsinkin aluksi paljon työtä. On olennaista, että riskienhallinnasta tulee säännöllistä, prosessit ovat hyvin dokumentoitu ja mukana on sitoutuneita henkilöitä.