Tietoturvallisuuden sertifiointi ISO/IEC 27001 -tietoturvallisuusstandardilla : case: Autovahinkokeskus Oy
Kemppainen, Simo (2009)
Kemppainen, Simo
Lahden ammattikorkeakoulu
2009
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-200905122692
https://urn.fi/URN:NBN:fi:amk-200905122692
Tiivistelmä
Tämän opinnäytetyön aiheena on tutkia tietoturvallisuutta liiketoiminnassa, tietoturvallisuuden hallintajärjestelmän toteuttamista ja ylläpitoa, riskien arviointia sekä tietoturvallisuuden sertifiointivaatimuksia ISO/IEC 27001 -tietoturvallisuusstandardilla. Työssä tutkitaan myös, miten tietoa käsitellään tietoturvallisesti ja miten sitä kuuluu suojata.
Autovahinkokeskus Oy on vakuutusyhtiöiden lunastaminen ajoneuvojen realisointia harjoittava yritys, joka työllistää tällä hetkellä 49 henkilöä. Lähes jokainen henkilö käyttää tietojärjestelmiä työssään, minkä vuoksi tietoturvallisuuteen on aiheellista kiinnittää paljon huomiota. Autovahinkokeskus Oy:n tavoitteena oli selvittää tietoturvallisuuden sertifiointivalmiudet ISO/IEC 27001 -tietoturvallisuusstandardin mukaisesti.
Tutkimuksessa selvitettiin käytettävien tietojärjestelmien ja tietoteknisen infrastruktuurin nykytila ISO/IEC 27001 -tietoturvallisuusstandardin vaatimusten mukaan. Tutkimus osoitti tietojärjestelmien ja menettelytapojen olevan hyvää tasoa. Parannettavaa löytyi jonkin verran sekä teknisistä ratkaisuista että toimintatavoista, mutta eniten huomiota tulee kiinnittää dokumentointiin, tapahtumien seurantaan sekä tietojärjestelmien valvontaan.
Työssä tutkittiin myös henkilökunnan tietoisuutta käytössä olevien tietojärjestelmien tietoturvallisuudesta, yleisistä tietojenkäsittelypalvelujen käyttötottumuksista, ohjeistuksista ja koulutuksista. Tutkimuksessa paljastui tässä olevan suurin haaste lähitulevaisuudessa. Ohjeistusta ja koulutusta tarvitaan sekä tietoturvallisuuden että ohjelmistojen käyttöön.
Työn tuloksena on Autovahinkokeskus Oy:n tietojärjestelmien, toimintatapojen ja henkilöstön tietoturvatietoisuuden nykytilakartoitus sekä korjaus- ja parannusehdotuksia sertifioinnin aloittamista varten.
Autovahinkokeskus Oy on vakuutusyhtiöiden lunastaminen ajoneuvojen realisointia harjoittava yritys, joka työllistää tällä hetkellä 49 henkilöä. Lähes jokainen henkilö käyttää tietojärjestelmiä työssään, minkä vuoksi tietoturvallisuuteen on aiheellista kiinnittää paljon huomiota. Autovahinkokeskus Oy:n tavoitteena oli selvittää tietoturvallisuuden sertifiointivalmiudet ISO/IEC 27001 -tietoturvallisuusstandardin mukaisesti.
Tutkimuksessa selvitettiin käytettävien tietojärjestelmien ja tietoteknisen infrastruktuurin nykytila ISO/IEC 27001 -tietoturvallisuusstandardin vaatimusten mukaan. Tutkimus osoitti tietojärjestelmien ja menettelytapojen olevan hyvää tasoa. Parannettavaa löytyi jonkin verran sekä teknisistä ratkaisuista että toimintatavoista, mutta eniten huomiota tulee kiinnittää dokumentointiin, tapahtumien seurantaan sekä tietojärjestelmien valvontaan.
Työssä tutkittiin myös henkilökunnan tietoisuutta käytössä olevien tietojärjestelmien tietoturvallisuudesta, yleisistä tietojenkäsittelypalvelujen käyttötottumuksista, ohjeistuksista ja koulutuksista. Tutkimuksessa paljastui tässä olevan suurin haaste lähitulevaisuudessa. Ohjeistusta ja koulutusta tarvitaan sekä tietoturvallisuuden että ohjelmistojen käyttöön.
Työn tuloksena on Autovahinkokeskus Oy:n tietojärjestelmien, toimintatapojen ja henkilöstön tietoturvatietoisuuden nykytilakartoitus sekä korjaus- ja parannusehdotuksia sertifioinnin aloittamista varten.