Metsä Forestin tietoturvasuunnitelmien analyysi
Ankkuri, Mika (2026)
2026
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2026050810293
https://urn.fi/URN:NBN:fi:amk-2026050810293
Tiivistelmä
Tämä opinnäytetyö on tehty Metsä Forestille tavoitteena tarkastella eri sovelluksille laadittuja tietoturvasuunnitelmia, niiden dokumentoitua sisältöä sekä vastaavuutta konsernin ohjeisiin, määräyksiin ja ISO 27001:2023 standardiin.
Tutkimuksessa tarkasteltujen sovellusten tietoturvasuunnitelmien sisältä ja keskeiset ominaisuudet koottiin taulukkomuotoon. Tarkastelussa arvioitiin suunnitelmien eri osa-alueiden kattavuutta ja dokumentaation tasoa siten, että ne kuvaavat suunnitelmien tilannetta tarkasteluhetkellä. Näitä tietoja tarkasteltiin suhteessa Metsä Groupissa aiemmin laadittuun ISO 27001:2023 standardin soveltuvuuslausuntoon keskittyen niihin kontrolli-alueisiin, jotka ovat tämän työn näkökulmasta olennaisia. Tarkastelun pohjalta muodostettiin GAP-analyysi, joka kuvaa sovellusten tietoturvasuunnitelmien sisältöjen vastaa-vuutta soveltuvuuslausuntoon sekä organisaation ohjeisiin ja vaatimuksiin. Lisäksi tarkastelussa huomioitiin tietojen näkyvyyttä eri käyttäjäryhmille ja -oikeuksille.
Tämä tutkimus tarjoaa kuvan tietoturvasuunnitelmien dokumentointitilanteesta isossa organisaatiossa suuren käyttäjämäärään äärellä. Tämä työ tuo esiin dokumentaation ja toiminnallisten ohjeiden näkökulman tilanteissa, joissa osa tietoturvaan liittyvistä prosesseista toimii taustalla ilman, että niiden toteutus on suoraan nähtävissä dokumentaatiota tarkastelevalle taholle, mutta jotka olisi auditointitilanteessa pystyttävä todentamaan koko tarkasteltavan teeman osalta.
Tutkimuksessa tarkasteltujen sovellusten tietoturvasuunnitelmien sisältä ja keskeiset ominaisuudet koottiin taulukkomuotoon. Tarkastelussa arvioitiin suunnitelmien eri osa-alueiden kattavuutta ja dokumentaation tasoa siten, että ne kuvaavat suunnitelmien tilannetta tarkasteluhetkellä. Näitä tietoja tarkasteltiin suhteessa Metsä Groupissa aiemmin laadittuun ISO 27001:2023 standardin soveltuvuuslausuntoon keskittyen niihin kontrolli-alueisiin, jotka ovat tämän työn näkökulmasta olennaisia. Tarkastelun pohjalta muodostettiin GAP-analyysi, joka kuvaa sovellusten tietoturvasuunnitelmien sisältöjen vastaa-vuutta soveltuvuuslausuntoon sekä organisaation ohjeisiin ja vaatimuksiin. Lisäksi tarkastelussa huomioitiin tietojen näkyvyyttä eri käyttäjäryhmille ja -oikeuksille.
Tämä tutkimus tarjoaa kuvan tietoturvasuunnitelmien dokumentointitilanteesta isossa organisaatiossa suuren käyttäjämäärään äärellä. Tämä työ tuo esiin dokumentaation ja toiminnallisten ohjeiden näkökulman tilanteissa, joissa osa tietoturvaan liittyvistä prosesseista toimii taustalla ilman, että niiden toteutus on suoraan nähtävissä dokumentaatiota tarkastelevalle taholle, mutta jotka olisi auditointitilanteessa pystyttävä todentamaan koko tarkasteltavan teeman osalta.