Kunnossapidon yksikön valmistautuminen ISO/IEC 27001 -standardin sertifiointiin: riskienhallinta
Saari, Joonas (2025)
2025
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2025060520853
https://urn.fi/URN:NBN:fi:amk-2025060520853
Tiivistelmä
Tässä opinnäytetyössä tutkittiin ISO 27001 -standardia ja riskienhallintaa sekä toteutettiin kehitysehdotus riskien tunnistamis-, arviointi- ja lieventämisprosessien osalta. Toimeksiantajana toimi ohjelmistoyritys Pinja Digital Oy, joka tavoitteli ISO 27001 -sertifikaattia kunnossapidon yksikölle. Tämän vuoksi heillä oli tarve kehittää tietoturvallisuuden dokumentaatiota ja prosesseja. Työn tavoitteena oli ymmärtää ISO 27001 -standardin sekä riskienhallinnan vaatimukset ja toteuttaa kehitysehdotus toimeksiantajalle. Kehitysehdotukseen kirjattiin, kuinka toimeksiantajan tulisi parantaa riskienhallinnan prosesseja, jotta se voi saada ISO 27001 -sertifikaatin.
Tutkimus toteutettiin kvalitatiivisella tutkimusmenetelmällä ja aineistonkeruumenetelmänä käytettiin dokumentteja sekä havainnointia. Dokumentteina toimivat toimeksiantajan ohjeistukset riskienhallintaan liittyen. Näiden pohjalta kartoitettiin kunnossapidon yksikön nykytilanne riskienhallinnan osalta. Teoreettisessa viitekehyksessä keskityttiin ISO 27001 -standardin sekä riskienhallinnan kokonaiskuvan ymmärtämiseen. Lisäksi teoreettisessa viitekehyksessä perehdyttiin syvällisemmin riskien arviointiprosessiin.
Tutkimustulokset osoittivat, ettei kunnossapidon yksiköllä ollut tarvittavia valmiuksia ISO 27001 -sertifikaattia varten, mutta että yleisen tason ohjeistukset olivat hyvällä tasolla ja ne tukivat kehitysehdotusten toteuttamista. Yleisen tason ohjeistukset sisälsivät yksikkötason riskienhallinnan vaatimukset, jotka oli sovitettava yksikön käytänteisiin sopiviksi. Tutkimuksessa havaittiin, että riskienhallintaa suoritettiin yksikkötasolla aktiivisesti, mutta ilman selkeitä prosesseja. Tämän myötä tutkimuksessa toimeksiantajalle luotiin prosessit riskienhallinnan tunnistamiseen, arvioimiseen ja lieventämiseen. Näiden prosessien avulla toimeksiantajan on mahdollista tehostaa toimintaansa sekä läpäistä ISO 27001 -sertifiointi, joka lisää toimeksiantajan luotettavuutta.
Tutkimus toteutettiin kvalitatiivisella tutkimusmenetelmällä ja aineistonkeruumenetelmänä käytettiin dokumentteja sekä havainnointia. Dokumentteina toimivat toimeksiantajan ohjeistukset riskienhallintaan liittyen. Näiden pohjalta kartoitettiin kunnossapidon yksikön nykytilanne riskienhallinnan osalta. Teoreettisessa viitekehyksessä keskityttiin ISO 27001 -standardin sekä riskienhallinnan kokonaiskuvan ymmärtämiseen. Lisäksi teoreettisessa viitekehyksessä perehdyttiin syvällisemmin riskien arviointiprosessiin.
Tutkimustulokset osoittivat, ettei kunnossapidon yksiköllä ollut tarvittavia valmiuksia ISO 27001 -sertifikaattia varten, mutta että yleisen tason ohjeistukset olivat hyvällä tasolla ja ne tukivat kehitysehdotusten toteuttamista. Yleisen tason ohjeistukset sisälsivät yksikkötason riskienhallinnan vaatimukset, jotka oli sovitettava yksikön käytänteisiin sopiviksi. Tutkimuksessa havaittiin, että riskienhallintaa suoritettiin yksikkötasolla aktiivisesti, mutta ilman selkeitä prosesseja. Tämän myötä tutkimuksessa toimeksiantajalle luotiin prosessit riskienhallinnan tunnistamiseen, arvioimiseen ja lieventämiseen. Näiden prosessien avulla toimeksiantajan on mahdollista tehostaa toimintaansa sekä läpäistä ISO 27001 -sertifiointi, joka lisää toimeksiantajan luotettavuutta.