Implementing and Applying ISMS in Organization’s Customer Delivery Projects: Development of a Framework for Project’s Information Security Tasks
Leppänen, Tiina (2021)
Leppänen, Tiina
2021
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021060313971
https://urn.fi/URN:NBN:fi:amk-2021060313971
Tiivistelmä
The role of information security and data privacy requirements in IT system development projects is growing as information security awareness and threats are increasing. At the same time information security is seen more as a responsibility of IT system specialists than project management.
The objectives was to investigate in target organization how customer delivery projects could get more force and support from Information Security Management System (ISMS) to project’s information security and data privacy tasks. Status of project’s information security tasks was investigated in the target organization by surveys. The case study was done in ISO/IEC 9001 certified organization where information security management system (ISMS) was implemented and ISO/IEC 27001 certified.
The results of survey revealed that by sharpening selected processes the utilization of organization’s ISMS can be boosted radically. These reforms were identified as good progress in translating security aspects into customer value because instead of focusing only on information security requirements, the project ensured its work process aligned with overall expectations on information security and data privacy by the customer.
Identified development needs of information security task management were key drivers creating framework of information security tasks of customer delivery projects: information security tasks must be launched before customer delivery project starts. As a result, a new project receives information security requirements and risks as input information already in starting phase. It must be noticed that information security tasks are a natural part of project management process and that process can produce data, for example, for auditing.
The developed framework containing information security controls and tasks is reusable and can be implemented as a project’s information security task template. The preliminary results of assessment showed that connecting the project process with related processes was especially fruitful. Extending the responsibilities and tasks to surrounding processes (mainly sales and quality) supports a good start and initiation of a project towards secure and agreed outcomes. Applying the framework in different operational environment, in product delivery processes and in continuous services was identified as interesting further development ideas. Tietoturva- ja tietosuojavaatimuksien rooli ja merkitys on kasvanut tietojärjestelmien kehittämisprojekteissa erityisesti tietoturvatietoisuuden ja -uhkien lisääntyessä. Samalla tietoturva mielletään edelleen enemmän järjestelmäasiantuntijoiden tehtäväksi kuin projektin hallintatasolle liittyväksi osa-alueeksi.
Tavoitteena oli selvittää miten tietoturvan hallintajärjestelmää (ISMS) voitaisiin hyödyntää tiiviimmin osana asiakastoimitusprojektien tietoturva- ja tietosuojatehtävissä kohdeorganisaatiossa. Nykytilanne kartoitettiin analysoimalla laatujärjestelmän mukainen toimintaympäristö tietoturvaprosessien ja -tehtävien osalta sekä haastatteluiden avulla. Tapaustutkimus toteutettiin ISO/IEC 9001 -sertifioidussa organisaatiossa, jossa oli toteutettu ISO/IEC 27001 -sertifioitu ISMS.
Tulokset osoittivat, että tietoturvan hallintajärjestelmä (ISMS) ja asiakastoimitusprojektin tietoturvatehtävät tulisi integroida tiiviimmin niin, että asiakastoimitusprojekti hyödyntää tietoturvan hallintajärjestelmää ja saa tietoturvaan ja tietosuojaan kohdistuvien vaatimusten ja riskien hallinnassa tukea myös muilta prosesseilta (erityisesti myyntiprosessi).
Toimintaympäristön ja kehitystarpeiden pohjalta laaditussa asiakastoimitusprojektien tietoturvatehtävien viitekehyksessä huomioitiin erityisesti se, että tietoturvatehtävien tulee käynnistyä ennen asiakastoimitusprojektin aloittamista, jolloin ne saadaan syötetietoina projekti- ja toimitusprosessille. Kehitystarpeissa korostui myös tietoturvatehtävien sisältyminen projektinhallintaprosessiin, jolloin niistä voidaan tuottaa raportointitietoa mm. auditointia varten.
Laaditun viitekehyksen avulla projektin tietoturvatehtävät ovat koko projektin elinkaaren ajan hallittava ja asiakkaalle lisäarvoa tuottava kokonaisuus, jossa huomioidaan tilaajan asettamien järjestelmävaatimusten lisäksi tavoitteet tietoturvan ja tietosuojan huomioimiselle ja toteutumiselle projektityössä.
Asiakastoimitusprojektin tietoturvatehtävät ovat laajempi kokonaisuus kuin mitä tietojärjestelmän toteutukselle asetetut tietoturvavaatimukset. Viitekehyksen alustava arviointi osoitti, että projektiprosessiin liittyvillä prosesseilla on tärkeä rooli erityisesti tiedon tuottajana ja tukena tietoturva- ja tietosuojavaatimusten toteuttamisessa projektin hallintatasolla.
Viitekehyksen sovittaminen muun tyyppiseen toimintaympäristöön ja jatkokehittäminen esim. tuotetoimitusprojektien ja jatkuvien palveluiden käyttöön huomioitiin mielenkiintoisina kehitysmahdollisuuksina.
The objectives was to investigate in target organization how customer delivery projects could get more force and support from Information Security Management System (ISMS) to project’s information security and data privacy tasks. Status of project’s information security tasks was investigated in the target organization by surveys. The case study was done in ISO/IEC 9001 certified organization where information security management system (ISMS) was implemented and ISO/IEC 27001 certified.
The results of survey revealed that by sharpening selected processes the utilization of organization’s ISMS can be boosted radically. These reforms were identified as good progress in translating security aspects into customer value because instead of focusing only on information security requirements, the project ensured its work process aligned with overall expectations on information security and data privacy by the customer.
Identified development needs of information security task management were key drivers creating framework of information security tasks of customer delivery projects: information security tasks must be launched before customer delivery project starts. As a result, a new project receives information security requirements and risks as input information already in starting phase. It must be noticed that information security tasks are a natural part of project management process and that process can produce data, for example, for auditing.
The developed framework containing information security controls and tasks is reusable and can be implemented as a project’s information security task template. The preliminary results of assessment showed that connecting the project process with related processes was especially fruitful. Extending the responsibilities and tasks to surrounding processes (mainly sales and quality) supports a good start and initiation of a project towards secure and agreed outcomes. Applying the framework in different operational environment, in product delivery processes and in continuous services was identified as interesting further development ideas.
Tavoitteena oli selvittää miten tietoturvan hallintajärjestelmää (ISMS) voitaisiin hyödyntää tiiviimmin osana asiakastoimitusprojektien tietoturva- ja tietosuojatehtävissä kohdeorganisaatiossa. Nykytilanne kartoitettiin analysoimalla laatujärjestelmän mukainen toimintaympäristö tietoturvaprosessien ja -tehtävien osalta sekä haastatteluiden avulla. Tapaustutkimus toteutettiin ISO/IEC 9001 -sertifioidussa organisaatiossa, jossa oli toteutettu ISO/IEC 27001 -sertifioitu ISMS.
Tulokset osoittivat, että tietoturvan hallintajärjestelmä (ISMS) ja asiakastoimitusprojektin tietoturvatehtävät tulisi integroida tiiviimmin niin, että asiakastoimitusprojekti hyödyntää tietoturvan hallintajärjestelmää ja saa tietoturvaan ja tietosuojaan kohdistuvien vaatimusten ja riskien hallinnassa tukea myös muilta prosesseilta (erityisesti myyntiprosessi).
Toimintaympäristön ja kehitystarpeiden pohjalta laaditussa asiakastoimitusprojektien tietoturvatehtävien viitekehyksessä huomioitiin erityisesti se, että tietoturvatehtävien tulee käynnistyä ennen asiakastoimitusprojektin aloittamista, jolloin ne saadaan syötetietoina projekti- ja toimitusprosessille. Kehitystarpeissa korostui myös tietoturvatehtävien sisältyminen projektinhallintaprosessiin, jolloin niistä voidaan tuottaa raportointitietoa mm. auditointia varten.
Laaditun viitekehyksen avulla projektin tietoturvatehtävät ovat koko projektin elinkaaren ajan hallittava ja asiakkaalle lisäarvoa tuottava kokonaisuus, jossa huomioidaan tilaajan asettamien järjestelmävaatimusten lisäksi tavoitteet tietoturvan ja tietosuojan huomioimiselle ja toteutumiselle projektityössä.
Asiakastoimitusprojektin tietoturvatehtävät ovat laajempi kokonaisuus kuin mitä tietojärjestelmän toteutukselle asetetut tietoturvavaatimukset. Viitekehyksen alustava arviointi osoitti, että projektiprosessiin liittyvillä prosesseilla on tärkeä rooli erityisesti tiedon tuottajana ja tukena tietoturva- ja tietosuojavaatimusten toteuttamisessa projektin hallintatasolla.
Viitekehyksen sovittaminen muun tyyppiseen toimintaympäristöön ja jatkokehittäminen esim. tuotetoimitusprojektien ja jatkuvien palveluiden käyttöön huomioitiin mielenkiintoisina kehitysmahdollisuuksina.