Tietoturvallisuuden hallintajärjestelmän kehittäminen ja ISO/IEC 27001 sertifiointi
Launonen, Timo-Pekka (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025112730317
https://urn.fi/URN:NBN:fi:amk-2025112730317
Tiivistelmä
Digitalisaation, pilvipalveluiden ja kiristyvän sääntelyn myötä tietoturvan merkitys on kasvanut huomattavasti, ja organisaatiot altistuvat yhä monimutkaisemmille riskeille, kuten kyberhyökkäyksille ja tietovuodoille. ISO/IEC 27001 -standardi tarjoaa kansainvälisesti tunnustetun viitekehyksen tietoturvallisuuden hallintaan, mutta sen implementointi edellyttää riskiperusteista ja organisaatiokohtaista lähestymistapaa.
Tutkimuksen tavoitteena on kehittää pk-yritykselle, erityisesti dataintensiivisellä teknologiasektorilla toimivalle Smartvattenille, käytännönläheinen tietoturvallisuuden hallintajärjestelmä. Tulokset osoittavat, että ISO/IEC 27001 on sovellettavissa myös pienemmissä organisaatioissa, kun toteutus skaalataan resurssien ja riskiprofiilin mukaisesti.
Yritykselle myönnetyt ISO 9001- ja ISO 14001 -sertifikaatit edistivät merkittävästi tietoturvallisuuden hallintajärjestelmän kehittämistä ja käyttöönottoa tarjoamalla yhtenäisen rakenteellisen viitekehyksen, yhteisen PDCA-syklin sekä prosessilähtöisen ja jatkuvaan parantamiseen perustuvan toimintakulttuurin. Olemassa olevat riskienhallinta- ja dokumentointikäytännöt vahvistivat edelleen organisaation kykyä tunnistaa ja hallita tietoturvariskejä, mikä tehosti käyttöönottoa ja vähensi hallinnollista kuormitusta.
Tutkimuksen tavoitteena on kehittää pk-yritykselle, erityisesti dataintensiivisellä teknologiasektorilla toimivalle Smartvattenille, käytännönläheinen tietoturvallisuuden hallintajärjestelmä. Tulokset osoittavat, että ISO/IEC 27001 on sovellettavissa myös pienemmissä organisaatioissa, kun toteutus skaalataan resurssien ja riskiprofiilin mukaisesti.
Yritykselle myönnetyt ISO 9001- ja ISO 14001 -sertifikaatit edistivät merkittävästi tietoturvallisuuden hallintajärjestelmän kehittämistä ja käyttöönottoa tarjoamalla yhtenäisen rakenteellisen viitekehyksen, yhteisen PDCA-syklin sekä prosessilähtöisen ja jatkuvaan parantamiseen perustuvan toimintakulttuurin. Olemassa olevat riskienhallinta- ja dokumentointikäytännöt vahvistivat edelleen organisaation kykyä tunnistaa ja hallita tietoturvariskejä, mikä tehosti käyttöönottoa ja vähensi hallinnollista kuormitusta.