Tietoturvapolitiikan kehittäminen Pohjois-Pohjanmaan sairaanhoitopiirissä : Siponen & Puhakainen tietoturvapolitiikan kehittämismallin mukaisesti

Abstract

Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu neljästä lähtökohdasta. Kirjallisuudesta ei löydy tietoturvapolitiikkaa, joka olisi toteutettu tämän mallin mukaisesti. Lisäksi tutkimuksessa selvitetään mallin soveltuvuutta Pohjois-Pohjanmaan sairaanhoitopiirissä (PPSHP).

Tutkimus toteutettiin laadullisena toimintatutkimuksena, joka koostui viidestä vaiheesta: määrittäminen, suunnittelu, toteutus, arviointi sekä tarkentaminen ja oppiminen. Tutkimustietoaineisto kerättiin haastatteluiden avulla (PPSHP:n tietoturvasta ja tietosuojasta vastaavia henkilöitä), tutkimalla PPSHP:n strategiaa sekä terveydenhuollon tietoturvaa ja tietosuojaa velvoittavaa lainsäädäntöä. Haastatteluiden teemat nousivat Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallista. Tiedonkeruumenetelmien avulla selvitettiin Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallin mukaiset vaatimukset tietoturvapolitiikalle.

Tutkimuksessa havaittiin, että tämä malli soveltuu hyvin PPSHP:n tietoturvapolitiikan toteuttamiseen ja käyttöönottoon. Tutkimuksessa syntyi yhteensä kymmenen ylä- ja alatason tietoturvapolitiikkadokumenttia, toteutettiin PPSHP:lle tietojärjestelmien luokittelu ja kehitettiin uusia prosesseja muun muassa ICT-varautumisen osalta. Näiden toimien avulla PPSHP:n tietoturva tasoa nostettiin.

The purpose of this study is to examine how the Siponen and Puhakainen method for the development of information security policies are executed in practice. The study consists of four premises which define the information security policies. In existing literature there are no studies handling on specifically this sort of design of information security policy put into practice. In addition, this study concentrates on evaluating the applicability of the information security policy in question to practice at Pohjois- Pohjanmaan sairaanhoitopiiri (PPSHP).

This study was carried out as a qualitative Action research cycle -study (ACR). ACR consists of five stages: diagnosing, action planning, action taking, evaluating and specifying and learning. The research data was collected by interviews (interviewing people responsible of data privacy and information security at PPSHP), investigating the strategy and the obligating information security legislation concerning healthcare. The main themes of the interviews emerged from the information security policy method for development of design by Siponen and Puhakainen. With the data collecting methods mentioned, the study was carried out to find specifications for the information security policy method by Siponen and Puhakainen.

It was found out that the design by Siponen and Puhakainen method for the development of information security policies is well applicable at the information security policy management at PPSHP. The study produced altogether ten higher and lower level information security policy documents, information system classification and provisions processes of information systems was developed. With these actions the level of information security of PPSHP was improved.