Employing Information Security Certification to Enhance Client Security in a Managed Service Environment

Abstract

Tämä opinnäytetyö tarkastelee ISO/IEC 27001 -standardin käyttöönottoa ja sen käytännön vaikutuksia hallittujen IT-palveluiden toimintaympäristössä. Työn tavoitteena oli selvittää, miten organisaation ISO/IEC 27001 -sertifiointiprosessin aikana kertynyttä osaamista ja käytäntöjä voidaan hyödyntää MSP-asiakasympäristöissä sekä tukea organisaatioita täyttämään kasvavia sääntelyvaatimuksia, kuten NIS2-direktiivin vaatimuksia.

Työn teoreettinen viitekehys perustuu ISO/IEC 27001 -standardin keskeisiin periaatteisiin sekä NIS2-direktiivin asettamiin vaatimuksiin. Lisäksi työssä tarkastellaan toimeksiantajaorganisaation omaa sertifiointiprosessia ja siitä saatuja kokemuksia. Näkökulmaa tuovat tuotantopäällikön havainnot sertifiointiprosessin riskienhallintaan, operatiiviseen toimintaan ja hallintamalleihin liittyvistä tekijöistä. Myös organisaation tietoturvapalveluista vastaavan asiantuntijan haastattelu tuo esiin, millaisia käytännön tuloksia sertifiointi tuotti ja miten syntynyttä osaamista voidaan hyödyntää MSP-asiakkaille tarjottavissa palveluissa.

Tutkimus toteutettiin tapaustutkimuksena hyödyntäen asiantuntijahaastatteluja sekä sertifiointiprosessin analysointia. Tulokset osoittavat, että sertifiointiprosessi kehitti organisaation sisäisiä tietoturvakäytäntöjä ja tuotti osaamista, jota voidaan soveltaa asiakasympäristöissä. Työ tarjoaa suuntaa organisaatioille, jotka tavoittelevat ISO 27001 -sertifiointia ja valmistautuvat NIS2-vaatimusten täyttämiseen.

This thesis examines the implementation and practical implications of the ISO/IEC 27001 standard within a managed service provider environment. The goal of the thesis was to analyse how knowledge and practices gained from an organisation’s ISO/IEC 27001 certification process can be utilised in MSP client environments and to support organisations in meeting regulatory requirements such as the NIS2 Directive.

The regulatory and technical foundation of the research is based on the principles of ISO/IEC 27001 and the NIS2 Directive. The thesis also analyses the commissioning organisation’s certification process through insights provided by the Head of Production, highlighting risk management, operational and governance considerations. Additional insights were obtained from a security and sales representative responsible for the organisation’s security services, providing perspectives on how certification outcomes and accumulated knowledge can be transferred to MSP client services.

The research was conducted as a qualitative case study utilising expert interviews and analysis of the certification process. The findings indicate that the certification process strengthened internal security practices and produced knowledge that can be applied to improve security services for MSP clients. The thesis provides guidance for organisations pursuing ISO 27001 certification and preparing to meet NIS2 compliance requirements.