ISO/IEC 27001 -standardin mukainen tietoturva Service Deskiin
Mikkonen, Matti (2015)
Mikkonen, Matti
Savonia-ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-201505035720
https://urn.fi/URN:NBN:fi:amk-201505035720
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli Service Deskin tietoturvallisuuden parantaminen ISO/IEC 27001 -standardin mukaisesti tunnistamalla suojattavat resurssit, laatimalla näille resursseille riskianalyysit ja pohtimalla tarvittavat hallintakeinot näiden riskien vähentämiseksi.
Työ aloitettiin tutkimalla ISO/IEC 27001 -standardin vaatimukset sekä rajaamalla Service Desk standardin suojauksen piiriin. Service Desk kuvattiin yleistasolla, jotta saatiin selville riippuvuussuhteet ja vastuualueet eri sidosryhmien kanssa. Service Deskin sisällä tunnistettiin suojattavat resurssit ja näihin kohdisturvat riskit. Riskit arvioitiin Enfon riskienhallintapolitiikan mukaisesti esimiesten ja johdon avulla, jotka valittiin resurssien omistajiksi. Arvioinnin perusteella riskeille pohdittiin tarvittavat hallintakeinot.
Lopputuloksena laadittiin Service Deskin yleiskuvaus, resurssiluettelo, riskianalyysit ja Statement of Applicability -dokumentti. Tehtyjen riskianalyysien perusteella tietoturvallisuuteen voidaan nyt varautua paremmin, kun tiedetään olemassa olevien riskien seuraukset. Riskien hallintakeinojen käytännön toteutus ei kuulunut tähän opinnäytetyöhön.
Työ aloitettiin tutkimalla ISO/IEC 27001 -standardin vaatimukset sekä rajaamalla Service Desk standardin suojauksen piiriin. Service Desk kuvattiin yleistasolla, jotta saatiin selville riippuvuussuhteet ja vastuualueet eri sidosryhmien kanssa. Service Deskin sisällä tunnistettiin suojattavat resurssit ja näihin kohdisturvat riskit. Riskit arvioitiin Enfon riskienhallintapolitiikan mukaisesti esimiesten ja johdon avulla, jotka valittiin resurssien omistajiksi. Arvioinnin perusteella riskeille pohdittiin tarvittavat hallintakeinot.
Lopputuloksena laadittiin Service Deskin yleiskuvaus, resurssiluettelo, riskianalyysit ja Statement of Applicability -dokumentti. Tehtyjen riskianalyysien perusteella tietoturvallisuuteen voidaan nyt varautua paremmin, kun tiedetään olemassa olevien riskien seuraukset. Riskien hallintakeinojen käytännön toteutus ei kuulunut tähän opinnäytetyöhön.