Tietoturvapolitiikan kehittäminen Pohjois-Pohjanmaan sairaanhoitopiirissä : Siponen & Puhakainen tietoturvapolitiikan kehittämismallin mukaisesti
Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen
tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu
neljästä lähtökohdasta. Kirjallisuudesta ei löydy tietoturvapolitiikkaa, joka olisi
toteutettu tämän mallin mukaisesti. Lisäksi tutkimuksessa selvitetään mallin
soveltuvuutta Pohjois-Pohjanmaan sairaanhoitopiirissä (PPSHP).
Tutkimus toteutettiin laadullisena toimintatutkimuksena, joka koostui viidestä
vaiheesta: määrittäminen, suunnittelu, toteutus, arviointi sekä tarkentaminen ja
oppiminen. Tutkimustietoaineisto kerättiin haastatteluiden avulla (PPSHP:n
tietoturvasta ja tietosuojasta vastaavia henkilöitä), tutkimalla PPSHP:n strategiaa sekä
terveydenhuollon tietoturvaa ja tietosuojaa velvoittavaa lainsäädäntöä. Haastatteluiden
teemat nousivat Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallista.
Tiedonkeruumenetelmien avulla selvitettiin Siposen ja Puhakaisen tietoturvapolitiikan
kehittämismallin mukaiset vaatimukset tietoturvapolitiikalle.
Tutkimuksessa havaittiin, että tämä malli soveltuu hyvin PPSHP:n tietoturvapolitiikan
toteuttamiseen ja käyttöönottoon. Tutkimuksessa syntyi yhteensä kymmenen ylä- ja
alatason tietoturvapolitiikkadokumenttia, toteutettiin PPSHP:lle tietojärjestelmien
luokittelu ja kehitettiin uusia prosesseja muun muassa ICT-varautumisen osalta. Näiden
toimien avulla PPSHP:n tietoturva tasoa nostettiin.
...
The purpose of this study is to examine how the Siponen and Puhakainen method for
the development of information security policies are executed in practice. The study
consists of four premises which define the information security policies. In existing
literature there are no studies handling on specifically this sort of design of information
security policy put into practice. In addition, this study concentrates on evaluating the
applicability of the information security policy in question to practice at Pohjois-
Pohjanmaan sairaanhoitopiiri (PPSHP).
This study was carried out as a qualitative Action research cycle -study (ACR). ACR
consists of five stages: diagnosing, action planning, action taking, evaluating and
specifying and learning. The research data was collected by interviews (interviewing
people responsible of data privacy and information security at PPSHP), investigating
the strategy and the obligating information security legislation concerning healthcare.
The main themes of the interviews emerged from the information security policy
method for development of design by Siponen and Puhakainen. With the data collecting
methods mentioned, the study was carried out to find specifications for the information
security policy method by Siponen and Puhakainen.
It was found out that the design by Siponen and Puhakainen method for the
development of information security policies is well applicable at the information
security policy management at PPSHP. The study produced altogether ten higher and
lower level information security policy documents, information system classification
and provisions processes of information systems was developed. With these actions the
level of information security of PPSHP was improved.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29561]
Related items
Showing items with similar title or keywords.
-
Organization Members Developing Information Security Policies : a Case Study
Paananen, Hanna; Siponen, Mikko (Association for Information Systems, 2023)Information security policies (ISPs) have a key role in organizational information security. Research has introduced processes for ISP development, including lifecycle models. There are also recommendations to include ... -
State of the Art in Information Security Policy Development
Paananen, Hanna; Lapke, Michael; Siponen, Mikko (Elsevier Advanced Technology, 2020)Despite the prevalence of research that exists under the label of “information security policies” (ISPs), there is no consensus on what an ISP means or how ISPs should be developed. This article reviews state-of-the-art ... -
Review of the methods for the development of information security policies at organizations
Wu, Shan (2016)This thesis aims to have an overview of the current studies in the development of information security policy. The research is based on a systematical literature review. The study focuses on the development process of ... -
Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti
Eerola, Jyrki (2021)Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin ... -
Ulkoisten kyberturvallisuuden riskien arviointi finanssialan organisaatiossa
Takala, Niko (2019)Riskienhallintaa ja riskien arviointia voidaan tarkastella useasta eri näkökulmasta ja sitä ohjaavat useat erilaiset tekijät. Ohjaaviksi tekijöiksi voidaan tunnistaa organisaation strategia, organisaatiokulttuuri, ...