Tietoturvapolitiikan luomisen taksonomia

Abstract

Tämä pro gradu -tutkimus käsittelee tietoturvapolitiikan luomista ja tarkastelee sitä systemaattisen kirjallisuuskatsauksen keinoin. Tutkimusaineisto on kasattu keväällä 2016 ja se käsittää vuosien 1999 – 2016 välillä julkaistut tieteelliset artikkelit. Tutkimuksessa kuvataan niitä metodeja, joilla tietoturvapolitiikka voidaan luoda organisaatioon joko tyhjästä tai vanhan tietoturvapolitiikan päälle. Tietoturvapolitiikan katsotaan tässä tutkimuksessa olevan ylätason dokumentti, joka ohjaa organisaation toimintaa tietoturvallisuuteen liittyvissä kysymyksissä ja askareissa. Tietoturvapolitiikan luomisen keinoja havaittiin teemoitetusti olevan kolme: Riskien tunnistaminen ja hallinta, yleiset analyysityökalut ja organisaation tehtävät ja arvot. Aineiston perusteella yleisin tapa tietoturvapolitiikan luomiseen tieteellisessä kirjallisuudessa on organisaation keskeisten tehtävien ja tapojen havainnoinnin ja kartoituksen pohjalta tehtävä selvitys.

This master’s thesis describes the creation of information security policies by using methodology of systematic literature review. The data is gathered during Spring 2016 and it includes scientific articles from 1999 to year 2016. This re-search describes methods of creating an information security policy from start or after old information security policy is at end of life. In this research infor-mation security policy is described as high-level policy, which steers organisa-tion’s security and normal activity. Three methods to create an information se-curity policy were found: Risk observation and management, general analysis tools, and organisation’s key processes and core values. According to the ana-lyzed data the most common methodology to create an information security policy is to base the creation on observation and analyzation of organisation’s key processes and core values.