University of Jyväskylä | JYX Digital Repository

  • English  | Give feedback |
    • suomi
    • English
 
  • Login
JavaScript is disabled for your browser. Some features of this site may not work without it.
View Item 
  • JYX
  • Opinnäytteet
  • Pro gradu -tutkielmat
  • View Item
JYX > Opinnäytteet > Pro gradu -tutkielmat > View Item

ISO/IEC 27001 -sertifioinnin hankintaperusteet ja sertifiointielimen valintaperusteet

Thumbnail
View/Open
854.4Kb

Downloads:  
Show download detailsHide download details  
Authors
Suhonen, Tatu
Date
2019
Discipline
TietojenkäsittelytiedeComputer Science
Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.

 
ISO/IEC 27001 -sertifikaatti on vapaaehtoinen tietoturvan johtamisjärjestelmäsertifikaatti, joka voidaan myöntää standardin vaatimukset täyttävälle organisaatiolle. Sertifikaatilla organisaatio voi osoittaa, että sen toimintatavat tietoturvan osalta ovat johdettuja, suunniteltuja ja jatkuvia. ISO/IEC 27001 -standardi on yksi tunnetuimmista tietoturvaan liittyvistä standardeista, mutta siihen liittyvä tutkimus on ollut melko vähäistä, etenkin sertifioinnin osalta. Sen vuoksi tässä tutkimuksessa selvitettiin syitä sille, miksi erilaiset organisaatiot päättävät hankkia ISO/IEC 27001 -sertifikaatin ja ylläpitää sitä. Lisäksi pyrittiin selvittämään tekijöitä, jotka vaikuttavat sertifioinnin suorittavan sertifiointielimen valintaan, sillä aihe on vielä käytännössä tutkimaton. Tutkimus toteutettiin laadullisena monitapaustutkimuksena, jonka avulla pyrittiin löytämään tekijöitä, jotka vaikuttavat tutkimuskysymyksissä viitattuihin ilmiöihin. Sertifioinnin hankintaperusteissa ongelmaa oli käytännöllistä lähestyä etsimällä sertifioinnista saatavia hyötyjä ja haasteita, kun taas sertifiointielimen valintaperusteissa keskityttiin etsimään tekijöitä ja kevyesti vertailemaan niitä. Tiedon kerääminen toteutettiin haastattelemalla jo sertifioituja organisaatioita käyttäen semistrukturoitua haastattelumenetelmää. Analysointi toteutettiin vertailemalla tuloksia aiempiin julkaisuihin aiheista. Tulosten mukaan sertifioinnin hankintaan ja ylläpitoon vaikuttavat pääasiallisesti tietoturva- ja taloushyödyt, ja näitä täydentävät erilaiset muut hyödyt, kuten lainsäädäntöön liittyvät hyödyt. Hyödyt ovat monissa tapauksissa läheisesti yhteneväisiä monien muiden hyötyjen kanssa. Tietoturvanäkökulmasta suurin hyöty on tietoturvan tason kokonaisvaltainen parantuminen, kun taas taloudellisesti sertifikaatti edistää organisaation luottamusta, helpottaa myyntiä ja mahdollistaa säästöjä. Lisäksi sertifioiutumalla organisaatio voi täyttää lainsäädännöllisiä vaatimuksia, kuten EU:n tietosuoja-asetuksen vaatimuksia. Sertifiointielimen valintaan liittyviä tekijöitä löytyi useita. Hinnan ja kilpailutuksen merkitys ovat pienempiä kuin auditoijan ammattitaidon ja sertifiointielimen käytännöllisyystekijöiden, mutta niillä on kuitenkin vaikutusta. Lisäksi vaikuttavia tekijöitä voivat olla myös palvelutarjonnan määrä, maine sekä olemassa olevat suhteet sertifiointielimeen. ...
 
ISO/IEC 27001 -certificate is a voluntary information security management system certificate which can be granted to an organization upon complying with the standard’s requirements. Certification acts as a proof that the organization’s procedures in terms of information security are managed, planned and continuous. ISO/IEC 27001 is one of the most recognized information security standards, but little research on the subject has been done, especially in the field of certification. Therefore, this study aimed to find factors that affect organizations’ decision to aim for a certificate and maintain it. Furthermore, factors affecting the selection of the certification body conducting the certification audits were inspected since practically no research has been made on the subject. The re-search was conducted as a qualitative multiple case study where factors answering to the research questions were looked for. Factors affecting the decision to certify were identified through benefits of certification whereas factors affecting the selection of the certification body were inspected as such and by comparing them to each other. Information was collected by interviewing certified organizations by using a semi-structured interview method. Analysis was based on comparison between existing literature and results from this study. The results show that factors affecting the decision to obtain and maintain the certificate are divided into information security and financial benefits which are supplemented with additional benefits, such as legal benefits. Benefits are often closely related and overlapping. From security perspective the main benefit is the overall increase in the level of security while financially the certificate increases trust, increases sales and provides chances for cost savings. Addition-ally, the certificate might help cover legislative requirements such as the EU General Data Protection Regulation. The selection of certification body was found to have multiple affecting factors. Price and tendering are affecting the selection but may not be playing a significant role when compared to auditor’s competence and practicality matters regarding the certification body. Additionally, the following factors were found in the study: service portfolio coverage, reputation and existing relationship with a certification body. ...
 
Keywords
ISO/IEC 27001 tietoturvan johtamisjärjestelmä sertifiointielin sertifiointi sertifikaatit tietoturva auditointi standardit
URI

http://urn.fi/URN:NBN:fi:jyu-201910024309

Metadata
Show full item record
Collections
  • Pro gradu -tutkielmat [23424]

Related items

Showing items with similar title or keywords.

  • Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti 

    Eerola, Jyrki (2021)
    Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin ...
  • Asiakkaan osallistuminen tietoturvan kehittämiseen hankittaessa vahvaa suojausta vaativia ohjelmistojärjestelmiä 

    Lauhikari, Tarja (2017)
    Digitalisaatio lisää kyberuhkien mahdollisuutta puolustusvoimien ohjelmistojärjestelmissä. Tietoturvaa täytyy jatkuvasti kehittää, jotta järjestelmien monipuolinen käyttö pysyisi turvallisena. Tutkimuksessa haastateltiin ...
  • Jatkuvuussuunnittelu ja sen kehittäminen ICT-liiketoiminnassa : tapaustutkimus 

    Tuovila, Roope (2020)
    Jatkuvasti verkottuvassa maailmassa turvallisella tiedon käsittelyllä on yhä kasvavampi rooli yritysten liiketoiminnan jatkuvuuden kannalta. Häiriötilanteisiin on varauduttava. Standardoidulla tietoturvallisuuden ...
  • Tietoturvan ja tietosuojan kehittäminen pilviteknologiassa : standardit ja kehysmallit sekä riskienhallinnan näkökulma 

    Lehtinen, Vesa (2010)
    Informaatioteknologian kehityksen myötä on syntynyt idea tietojenkäsittelyn myymisestä palveluna minkä tahansa hyödykkeen tavoin. Kustannustehokas, skaalautuva ja helppokäyttöinen pilviteknologia herättää mielenkiintoa ...
  • Evidence in cloud security compliance : towards a meta-evaluation framework 

    Hentula, Antti (2019)
    Recently the trend of outsourcing IT services into cloud environments as opposed to traditional locally administrated services has been on the rise. This transition allows enables great cost savings through service flexibility ...
  • Browse materials
  • Browse materials
  • Articles
  • Conferences and seminars
  • Electronic books
  • Historical maps
  • Journals
  • Tunes and musical notes
  • Photographs
  • Presentations and posters
  • Publication series
  • Research reports
  • Research data
  • Study materials
  • Theses

Browse

All of JYXCollection listBy Issue DateAuthorsSubjectsPublished inDepartmentDiscipline

My Account

Login

Statistics

View Usage Statistics
  • How to publish in JYX?
  • Self-archiving
  • Publish Your Thesis Online
  • Publishing Your Dissertation
  • Publication services

Open Science at the JYU
 
Data Protection Description

Accessibility Statement

Unless otherwise specified, publicly available JYX metadata (excluding abstracts) may be freely reused under the CC0 waiver.
Open Science Centre