ISO/IEC 27001 -standardi ja tietoturvallisuuteen sitoutuminen
Salonen, Arto (2016)
Salonen, Arto
Laurea-ammattikorkeakoulu
2016
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2016100814952
https://urn.fi/URN:NBN:fi:amk-2016100814952
Tiivistelmä
Tämän opinnäytetyön tarkoituksena oli koota yhteen ISO/IEC 27001 vaatimuskokoelma. Ajatus työstä lähti toimeksiantaja yritykseltä, joka on Suomalainen kansainvälisesti toimiva rahalaitos. Yritys haluaa selvitettävän ISO/IEC 27001 tietoturvasertifikaatin hankkimiseen liittyviä hyötyjä sekä siihen sitoutumiseen vaatimia resursseja. Tässä opinnäytetyössä käydään läpi sertifikaatin saamiseen liittyvää prosessia sekä muita tietoturvallisuuden hallintajärjestelmiä.
Teoreettisen viitekehyksen lisäksi haastateltiin Inspecta Sertifiointi Oy:n pääarvioija Jyrki Lahnalah-tea sekä suppeana kyselytutkimuksena kahdeksan eri yrityksen tietoturvasertifikaatista vastuussa olevia henkilöä. Haastatteluiden avulla haettiin kokemuksia sekä mahdollisia ongelmakohtia ja toisaalta myös onnistumisia, joita yritykset kohtasivat sertifiointiprosessissa. Yksi tavoite oli myös selvittää sertifikaatin etuja kehittäessä yrityksen tietoturvallisuutta, yrityksen imagon kohottamisessa ja asiakashankinnoissa. Työssä käydään läpi standardin hyödyllisyyttä yritykselle, joka ei myy it-palveluita, mutta jolla tietotekniikka ja tietoturva ovat erittäin suuressa roolissa. Toimiva ja ajanmukainen tietoturva on tärkeä osa yrityksen toimintaa ja siihen myös pyritään panostamaan toimeksiantaja yrityksessä.
Teoreettisen viitekehyksen lisäksi haastateltiin Inspecta Sertifiointi Oy:n pääarvioija Jyrki Lahnalah-tea sekä suppeana kyselytutkimuksena kahdeksan eri yrityksen tietoturvasertifikaatista vastuussa olevia henkilöä. Haastatteluiden avulla haettiin kokemuksia sekä mahdollisia ongelmakohtia ja toisaalta myös onnistumisia, joita yritykset kohtasivat sertifiointiprosessissa. Yksi tavoite oli myös selvittää sertifikaatin etuja kehittäessä yrityksen tietoturvallisuutta, yrityksen imagon kohottamisessa ja asiakashankinnoissa. Työssä käydään läpi standardin hyödyllisyyttä yritykselle, joka ei myy it-palveluita, mutta jolla tietotekniikka ja tietoturva ovat erittäin suuressa roolissa. Toimiva ja ajanmukainen tietoturva on tärkeä osa yrityksen toimintaa ja siihen myös pyritään panostamaan toimeksiantaja yrityksessä.