Tietoturvallisuuden kehittäminen Yritys Oy:ssä
Vesalainen, Tapio (2011)
Vesalainen, Tapio
Laurea-ammattikorkeakoulu
2011
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2011060611019
https://urn.fi/URN:NBN:fi:amk-2011060611019
Tiivistelmä
Tämän toiminnallisen opinnäytetyön tarkoitus on ollut selvittää, mitä asioita kohdeyrityksen on huomioitava, kun laaditaan tietoturvallisuuden hallintajärjestelmää. Tarve opinnäytetyölle ilmaantui, kun Yritys Oy (nimi muutettu) tunnisti tietoturvallisuuden kehittämistarpeensa. Hankkeen tarkoituksena oli kehittää yrityksen yleistä toiminnan laatua, parantaa kilpailukykyä ja vastata asiakkaiden muuttuviin tietoturvatarpeisiin. Hankkeessa tunnistettiin organisaation tietoturvallisuustavoitteet ja määriteltiin organisaation tietoturvapolitiikka. Siihen liittyy tur-vamekanismien luominen sekä niiden käyttö tietoturvariskien hallintaan.
Opinnäytetyön teoreettinen viitekehys koostuu turvallisuusjohtamisen, riskienhallinnan sekä tietoturvallisuuden hallintajärjestelmän tutkimuksesta. Viitekehyksenä hallintamallissa on käytetty soveltaen ISO 27001 ja 17799 -standardeja. Tässä toiminnallisessa opinnäytetyössä yhdistyvät käytännön toteutus ja kehittäminen tutkimuksellisten työkalujen avulla työelämä-kontekstissa ja työn raportointi tapahtuu tutkimusviestinnän keinoin.
Tietoturvallisuus on ennen kaikkea yrityksen johdon asia ja se oli mukana, kun määriteltiin tietoturvallisuuden hallintajärjestelmän kattavuus ja rajat. Työssä tunnistettiin yrityksen ris-kit sekä analysoitiin ja arvioitiin riskien vaikutukset. Yritykselle luotiin ja otettiin käyttöön riskienhallintasuunnitelma, jonka avulla saavutetaan tunnistetut valvontatavoitteet ja joka ottaa huomioon kustannukset sekä osoittaa roolit ja vastuut. Liiketoiminnan jatkuvuuden hal-lintaan liittyen tietoturvallisuus sisällytettiin liiketoiminnan jatkuvuuden hallintaprosessiin. Sen avulla otettiin käyttöön suunnitelmat, joilla yrityksen liiketoiminta saadaan ylläpidettyä ja palautettua sekä tiedon saatavuus varmistettua vaaditulla tasolla ja vaadituissa aikarajois-sa kriittisten liiketoimintaprosessien keskeytymisen tai toimintahäiriön jälkeen.
Opinnäytetyön teoreettinen viitekehys koostuu turvallisuusjohtamisen, riskienhallinnan sekä tietoturvallisuuden hallintajärjestelmän tutkimuksesta. Viitekehyksenä hallintamallissa on käytetty soveltaen ISO 27001 ja 17799 -standardeja. Tässä toiminnallisessa opinnäytetyössä yhdistyvät käytännön toteutus ja kehittäminen tutkimuksellisten työkalujen avulla työelämä-kontekstissa ja työn raportointi tapahtuu tutkimusviestinnän keinoin.
Tietoturvallisuus on ennen kaikkea yrityksen johdon asia ja se oli mukana, kun määriteltiin tietoturvallisuuden hallintajärjestelmän kattavuus ja rajat. Työssä tunnistettiin yrityksen ris-kit sekä analysoitiin ja arvioitiin riskien vaikutukset. Yritykselle luotiin ja otettiin käyttöön riskienhallintasuunnitelma, jonka avulla saavutetaan tunnistetut valvontatavoitteet ja joka ottaa huomioon kustannukset sekä osoittaa roolit ja vastuut. Liiketoiminnan jatkuvuuden hal-lintaan liittyen tietoturvallisuus sisällytettiin liiketoiminnan jatkuvuuden hallintaprosessiin. Sen avulla otettiin käyttöön suunnitelmat, joilla yrityksen liiketoiminta saadaan ylläpidettyä ja palautettua sekä tiedon saatavuus varmistettua vaaditulla tasolla ja vaadituissa aikarajois-sa kriittisten liiketoimintaprosessien keskeytymisen tai toimintahäiriön jälkeen.