Information Security Incident Management in Higher Education : Reviewing and Improving Information Security Incident Management Process for Jamk University of Applied Sciences
Karhu, Juuso (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025121837986
https://urn.fi/URN:NBN:fi:amk-2025121837986
Tiivistelmä
Jamkin ammattikorkeakoulun tietoturvapoikkeamien hallintaprosessin tarkastelu osoitti, että poikkeamien käsittely oli puutteellista eikä vastannut vakiintuneita standardeja. Jamk toimii monimutkaisessa IT-ympäristössä ja hallinnoi suuria määriä opiskelijoihin, henkilökuntaan ja tutkimukseen liittyviä arkaluonteisia tietoja, mikä korostaa standardipohjaisen ja rakenteellisen poikkeamien hallinnan tarvetta.
Tässä opinnäytetyössä pyrittiin kehittämään tietoturvapoikkeamien hallintakäytäntöjä ja tukemaan ISO/IEC 27001:2022 -standardin sekä ISO/IEC 27035 -standardisarjan mukaista linjausta. Tavoitteena oli luoda perusta muodolliselle poikkeamien hallintaprosessille ja siihen liittyville menettelyille. Lisäksi pyrittiin tunnistamaan korkeakoulusektorille tyypillisiä tietoturvapoikkeamia ja uhkatoimijoita sekä arvioimaan nykyisten käytäntöjen vastaavuutta kansainvälisiin standardeihin.
Tutkimus toteutettiin laadullisena tapaustutkimuksena. Sisäisiä politiikkoja, ohjeistuksia ja toimintadokumentteja analysoitiin systemaattisesti ja verrattiin ISO/IEC 27001:2022 -standardin kohtiin A.5.24–A.5.28 ja A.6.8 sekä ISO/IEC 27035-1:2023 ja ISO/IEC 27035-2:2023 -standardien poikkeamien hallinnan vaiheisiin. Laadullisen tutkimuksen tukena toimi puolistrukturoidut haastattelut keskeisten henkilöiden kanssa nykykäytäntöjen ja haasteiden kartoittamiseksi.
Tutkimus osoitti, että keskeiset poikkeamien hallinnan elementit, kuten politiikat, ilmoituskanavat, vastuut ja lokien hallinta, oli osittain toteutettu, mutta kokonaisuus oli hajautunut ja riippuvainen yksittäisten henkilöiden osaamisesta. Merkittäviä puutteita havaittiin suunnittelussa, dokumentoinnissa, poikkeamien luokittelussa ja eskalointikriteereissä, vaste- ja palautusmenettelyissä, todisteiden käsittelyssä sekä jälkiarvioinnissa. Tulosten pohjalta laadittiin suosituksia, joiden avulla voidaan kehittää yhtenäinen ja standardien mukainen poikkeamien hallintakyvykkyys sekä vahvistaa Jamkin tietoturvallisuutta kokonaisuutena. A review of Jamk University of Applied Sciences’ information security incident management process revealed that incident handling was incomplete and not aligned with established standards. Jamk operate in a complex IT environment and manage significant volumes of sensitive data related to students, staff, and research, which highlighted the need for a structured, standards-based approach to incident management.
Targeted efforts were made to enhance incident management practices and to support alignment with ISO/IEC 27001:2022 and the ISO/IEC 27035 series. The primary goal was to lay the groundwork for a formal information security incident response process and supporting procedures. Additional aims were to identify common types of information security incidents and threat actors relevant to higher education and to assess how existing practices corresponded to international standards.
A qualitative single case study methodology was used. Internal policies, guidelines, and operational documents were systematically analysed and compared with ISO/IEC 27001:2022 controls A.5.24–A.5.28 and A.6.8, as well as the incident management phases described in ISO/IEC 27035-1:2023 and ISO/IEC 27035-2:2023. Semi structured interviews with relevant personnel were conducted to provide practical insights into current practices and challenges.
The analysis showed that key elements for incident management had been established, including policies, reporting channels, defined responsibilities, and log management practices, but that the overall approach remained fragmented and strongly dependent on individual expertise. Notable gaps were identified in planning and documentation, incident classification and escalation criteria, response and recovery procedures, evidence handling, and post incident learning. Based on these findings, a set of recommendations was formulated to support the development of a coherent, standards aligned incident management capability and to strengthen Jamk’s overall information security posture.
Tässä opinnäytetyössä pyrittiin kehittämään tietoturvapoikkeamien hallintakäytäntöjä ja tukemaan ISO/IEC 27001:2022 -standardin sekä ISO/IEC 27035 -standardisarjan mukaista linjausta. Tavoitteena oli luoda perusta muodolliselle poikkeamien hallintaprosessille ja siihen liittyville menettelyille. Lisäksi pyrittiin tunnistamaan korkeakoulusektorille tyypillisiä tietoturvapoikkeamia ja uhkatoimijoita sekä arvioimaan nykyisten käytäntöjen vastaavuutta kansainvälisiin standardeihin.
Tutkimus toteutettiin laadullisena tapaustutkimuksena. Sisäisiä politiikkoja, ohjeistuksia ja toimintadokumentteja analysoitiin systemaattisesti ja verrattiin ISO/IEC 27001:2022 -standardin kohtiin A.5.24–A.5.28 ja A.6.8 sekä ISO/IEC 27035-1:2023 ja ISO/IEC 27035-2:2023 -standardien poikkeamien hallinnan vaiheisiin. Laadullisen tutkimuksen tukena toimi puolistrukturoidut haastattelut keskeisten henkilöiden kanssa nykykäytäntöjen ja haasteiden kartoittamiseksi.
Tutkimus osoitti, että keskeiset poikkeamien hallinnan elementit, kuten politiikat, ilmoituskanavat, vastuut ja lokien hallinta, oli osittain toteutettu, mutta kokonaisuus oli hajautunut ja riippuvainen yksittäisten henkilöiden osaamisesta. Merkittäviä puutteita havaittiin suunnittelussa, dokumentoinnissa, poikkeamien luokittelussa ja eskalointikriteereissä, vaste- ja palautusmenettelyissä, todisteiden käsittelyssä sekä jälkiarvioinnissa. Tulosten pohjalta laadittiin suosituksia, joiden avulla voidaan kehittää yhtenäinen ja standardien mukainen poikkeamien hallintakyvykkyys sekä vahvistaa Jamkin tietoturvallisuutta kokonaisuutena.
Targeted efforts were made to enhance incident management practices and to support alignment with ISO/IEC 27001:2022 and the ISO/IEC 27035 series. The primary goal was to lay the groundwork for a formal information security incident response process and supporting procedures. Additional aims were to identify common types of information security incidents and threat actors relevant to higher education and to assess how existing practices corresponded to international standards.
A qualitative single case study methodology was used. Internal policies, guidelines, and operational documents were systematically analysed and compared with ISO/IEC 27001:2022 controls A.5.24–A.5.28 and A.6.8, as well as the incident management phases described in ISO/IEC 27035-1:2023 and ISO/IEC 27035-2:2023. Semi structured interviews with relevant personnel were conducted to provide practical insights into current practices and challenges.
The analysis showed that key elements for incident management had been established, including policies, reporting channels, defined responsibilities, and log management practices, but that the overall approach remained fragmented and strongly dependent on individual expertise. Notable gaps were identified in planning and documentation, incident classification and escalation criteria, response and recovery procedures, evidence handling, and post incident learning. Based on these findings, a set of recommendations was formulated to support the development of a coherent, standards aligned incident management capability and to strengthen Jamk’s overall information security posture.