Viranomaisyksikön turvallisuusjohtamisen tason todentaminen KATAKRIn avulla
Kojo, Jussi (2013)
Kojo, Jussi
Laurea-ammattikorkeakoulu
2013
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013112518018
https://urn.fi/URN:NBN:fi:amk-2013112518018
Tiivistelmä
Tämän opinnäytetyön tavoitteena oli todentaa turvallisuusjohtamisen taso suomalaisen turvallisuusorganisaation viranomaisyksikössä. Todentaminen suoritettiin Kansallisen turvallisuusauditointikriteeristö KATAKRIn avulla. Tavoitteena oli myös selvittää, soveltuuko KATAKRI viranomaisyksikköön. Kyseessä ei ollut virallinen KATAKRI-auditointi, vaikka todentamisessa käytettiin varsinaista turvallisuusauditointiprosessia. Turvallisuuden arviointi rajattiin myös koskemaan vain kohteen hallinnollista turvallisuutta eli turvallisuuden johtamista ja sen yhtä suojaustasovaatimusta, korotettu taso III:sta.
Opinnäytetyö oli kvalitatiivinen eli laadullinen tutkimus, jonka tutkimusmenetelminä toimivat dokumenttianalyysit, haastattelut ja havainnointi. Kvalitatiivisena tutkimuslajina käytettiin hermeneuttista menetelmää. Ensisijaisena tiedonkeruumenetelmänä käytettiin turvallisuusdokumenttien tarkastelua, toisena KATAKRIn kysymyssarjaan perustuvia, strukturoituja haastatteluja ja kolmantena havainnointia, jossa seurattiin käytännössä yksikön turvallisuusjohtamisen toimintaa.
Opinnäytetyö alkaa tutkimuksen teoreettisella viitekehyksellä ja turvallisuusauditoinnin teorialla. Tämän jälkeen on vuorossa kohteen auditointi, missä kuvaillaan käyty auditointiprosessi sekä laadittu tulosanalyysi. Analyysin perusteella esitetään kohteelle kooste turvallisuusjohtamisen kehittämisehdotuksista. Näitä kohde voi tarvittaessa käyttää hyödykseen parantaakseen suojaustasoaan ja hallinnollista turvallisuuttaan tai muodostaakseen turvallisuuden kehittämissuunnitelman. Turvallisuusjohtamisen todentamisen tulokset kirjataan myös tämän raportin liitteeksi.
Tämän opinnäytetyön myötä saatiin kohteen turvallisuusjohtamisen tasosta raportti, joka perustuu KATAKRIn security-näkökulmaan. KATAKRI tuotiin tutkimuksessa viranomaisympäristöön, jossa sen soveltaminen oli osittain haastavaa. Suojaustasovaatimuksia tuli soveltaa saatuihin havaintoihin ja kohteen toimintaympäristöön. KATAKRI turvallisuuden kehittämisen työkaluna ei ollut yksikölle ennestään tuttu. Vähäisen tunnettavuuden myötä syntyi autenttisuutta erityisesti haastattelu- ja havainnointiprosesseihin. Mikäli auditointi olisi toteutettu pelkästään dokumentaatioihin ja niihin nojautuviin tietoihin, olisi suojaustasojen todentaminen jäänyt vaatimattomaksi.
Yksikölle toteutettu turvallisuusauditointi toimi yksikölle myös esiauditointina. Mikäli yksikölle suoritettaisiin virallinen KATAKRIn mukainen auditointi, tämän auditointiraportin avulla siihen kyettäisiin paremmin valmistautumaan. Auditointiraportin tulosanalyysin perusteella voidaan todeta, että auditoitavan kohteen turvallisuusjohtamisen taso ei pystynyt saavuttamaan KATAKRIn korotetun tason vaatimusta hallinnollisesta turvallisuudesta. Kohteen suojaustasovaatimukset täyttyivät enintään KATAKRIn perustason osalta.
Opinnäytetyö oli kvalitatiivinen eli laadullinen tutkimus, jonka tutkimusmenetelminä toimivat dokumenttianalyysit, haastattelut ja havainnointi. Kvalitatiivisena tutkimuslajina käytettiin hermeneuttista menetelmää. Ensisijaisena tiedonkeruumenetelmänä käytettiin turvallisuusdokumenttien tarkastelua, toisena KATAKRIn kysymyssarjaan perustuvia, strukturoituja haastatteluja ja kolmantena havainnointia, jossa seurattiin käytännössä yksikön turvallisuusjohtamisen toimintaa.
Opinnäytetyö alkaa tutkimuksen teoreettisella viitekehyksellä ja turvallisuusauditoinnin teorialla. Tämän jälkeen on vuorossa kohteen auditointi, missä kuvaillaan käyty auditointiprosessi sekä laadittu tulosanalyysi. Analyysin perusteella esitetään kohteelle kooste turvallisuusjohtamisen kehittämisehdotuksista. Näitä kohde voi tarvittaessa käyttää hyödykseen parantaakseen suojaustasoaan ja hallinnollista turvallisuuttaan tai muodostaakseen turvallisuuden kehittämissuunnitelman. Turvallisuusjohtamisen todentamisen tulokset kirjataan myös tämän raportin liitteeksi.
Tämän opinnäytetyön myötä saatiin kohteen turvallisuusjohtamisen tasosta raportti, joka perustuu KATAKRIn security-näkökulmaan. KATAKRI tuotiin tutkimuksessa viranomaisympäristöön, jossa sen soveltaminen oli osittain haastavaa. Suojaustasovaatimuksia tuli soveltaa saatuihin havaintoihin ja kohteen toimintaympäristöön. KATAKRI turvallisuuden kehittämisen työkaluna ei ollut yksikölle ennestään tuttu. Vähäisen tunnettavuuden myötä syntyi autenttisuutta erityisesti haastattelu- ja havainnointiprosesseihin. Mikäli auditointi olisi toteutettu pelkästään dokumentaatioihin ja niihin nojautuviin tietoihin, olisi suojaustasojen todentaminen jäänyt vaatimattomaksi.
Yksikölle toteutettu turvallisuusauditointi toimi yksikölle myös esiauditointina. Mikäli yksikölle suoritettaisiin virallinen KATAKRIn mukainen auditointi, tämän auditointiraportin avulla siihen kyettäisiin paremmin valmistautumaan. Auditointiraportin tulosanalyysin perusteella voidaan todeta, että auditoitavan kohteen turvallisuusjohtamisen taso ei pystynyt saavuttamaan KATAKRIn korotetun tason vaatimusta hallinnollisesta turvallisuudesta. Kohteen suojaustasovaatimukset täyttyivät enintään KATAKRIn perustason osalta.