Tietoturvapolitiikan luominen ISO/IEC 27001 -sertifikaattia varten
Rissanen, Topi (2019)
Rissanen, Topi
2019
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2019110520661
https://urn.fi/URN:NBN:fi:amk-2019110520661
Tiivistelmä
Palvelujen ja niissä käsiteltävien tietojen siirtyessä internetin kautta saatavilla oleviin järjestelmiin, näistä tiedoista kiinnostuneet haitalliset osapuolet pyrkivät pääsemään tällaisiin järjestelmiin tallennettuihin tietoihin käsiksi. Ilman asianmukaisia turvatoimia eivät kenenkään henkilökohtaiset tiedot ole turvassa internetin yli käytettävissä palveluissa. Uhkatekijöiden onnistumisen vähentäminen ei kuitenkaan ole mikään yksinkertainen tehtävä, vaan vaatii paljon teknisiä toteutuksia ja käytännön toimintoja, jotka ottavat huomioon tietojen suojaamiseen tarvittavat asiat.
Tämä opinnäytetyö tehtiin osana erään pilvipalveluyrityksen tavoitetta saavuttaa ISO/IEC 27001 -sertifikaatti. Opinnäytetyön tavoitteena oli luoda ISO/IEC 27001 -standardin täyttävä tietoturvapolitiikka, jota yritys pystyy hyödyntämään myöhemmin kehitysprojekteissa, henkilöstön koulutuksessa ja ISO/IEC-sertifikaatin saamisessa. Työn tarkoituksena oli luoda dokumentaatio, jossa kuvataan yrityksen senhetkiset tietoturvaan liittyvät toimintatavat ja toimintatavat, joihin yritys pyrkii standardin täyttämiseksi.
Lopputuloksena yritykselle syntyi standardin vaatimukset täyttävä, helposti ylläpidettävä tietoturvapolitiikka, jonka avulla yritys voi jatkaa dokumentaatiota, toimintamallien ja prosessien kehittämistä tietoturvallisempaan suuntaan ja ISO/IEC 27001 -sertifikaattiin vaadittavien toimien täydentämistä.
Tämä opinnäytetyö tehtiin osana erään pilvipalveluyrityksen tavoitetta saavuttaa ISO/IEC 27001 -sertifikaatti. Opinnäytetyön tavoitteena oli luoda ISO/IEC 27001 -standardin täyttävä tietoturvapolitiikka, jota yritys pystyy hyödyntämään myöhemmin kehitysprojekteissa, henkilöstön koulutuksessa ja ISO/IEC-sertifikaatin saamisessa. Työn tarkoituksena oli luoda dokumentaatio, jossa kuvataan yrityksen senhetkiset tietoturvaan liittyvät toimintatavat ja toimintatavat, joihin yritys pyrkii standardin täyttämiseksi.
Lopputuloksena yritykselle syntyi standardin vaatimukset täyttävä, helposti ylläpidettävä tietoturvapolitiikka, jonka avulla yritys voi jatkaa dokumentaatiota, toimintamallien ja prosessien kehittämistä tietoturvallisempaan suuntaan ja ISO/IEC 27001 -sertifikaattiin vaadittavien toimien täydentämistä.