Tietoturvallisuusauditointi ISO 27000-viitekehyksessä
Luoma, Ilmari (2015)
Luoma, Ilmari
Seinäjoen ammattikorkeakoulu
2015
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2015060211853
https://urn.fi/URN:NBN:fi:amk-2015060211853
Tiivistelmä
Tiedon olemassaolo eri olomuodoissa muodostaa vaikeasti hallittavan uhkakentän, jonka käsittelyyn kansainvälisesti hyväksytty ISO 27000 -standardi on hyvä väline.
Työn tarkoitus on perehtyä ISO/IEC 27000 -standardisarjaan, soveltaa standardin vaatimuksia laatimalla tietoturvallisuuden auditointiaineisto ja -menetelmä, sekä toteuttaa tietoturvallisuusauditointi käytännössä.
Työssä esitellään tietoturvallisuuden kytkeytyminen yritysturvallisuuteen, tietoturvallisuuden osa-alueittainen rakentuminen ISO-standardien mukaisesti, sekä viisitasoinen auditointimalli jokaisen osa-alueen tehokkaaseen kartoittamiseen.
Laadittu auditointiaineisto luo rakenteen auditoinnille, helpottaa auditointityötä sekä mahdollistaa helpon ja tehokkaan dokumentoinnin auditoinnin aikana.
Auditoinnin tarkoituksena on kartoittaa toimeksiantajan tietoturvallisuuden nykytila, sekä laatia tietoturvallisuusraportti, jota käytetään pohjana toimeksiantajan tietoturvallisuuden kehitysprojektissa. Auditointi rakentuu haastatteluista, sekä käytännön katselmuksesta toimeksiantajan toimintaympäristössä.
Työn tarkoitus on perehtyä ISO/IEC 27000 -standardisarjaan, soveltaa standardin vaatimuksia laatimalla tietoturvallisuuden auditointiaineisto ja -menetelmä, sekä toteuttaa tietoturvallisuusauditointi käytännössä.
Työssä esitellään tietoturvallisuuden kytkeytyminen yritysturvallisuuteen, tietoturvallisuuden osa-alueittainen rakentuminen ISO-standardien mukaisesti, sekä viisitasoinen auditointimalli jokaisen osa-alueen tehokkaaseen kartoittamiseen.
Laadittu auditointiaineisto luo rakenteen auditoinnille, helpottaa auditointityötä sekä mahdollistaa helpon ja tehokkaan dokumentoinnin auditoinnin aikana.
Auditoinnin tarkoituksena on kartoittaa toimeksiantajan tietoturvallisuuden nykytila, sekä laatia tietoturvallisuusraportti, jota käytetään pohjana toimeksiantajan tietoturvallisuuden kehitysprojektissa. Auditointi rakentuu haastatteluista, sekä käytännön katselmuksesta toimeksiantajan toimintaympäristössä.