Julkishallinnon organisaation pilvipalvelujen tietoturvan arviointi

Abstract

Pilvipalvelujen yleistyminen ja niiden käyttöönotto on edelleen kasvava trendi. Julkishallinnossa on vasta viime vuosina tehty koko julkishallintoa koskeva pilvipalvelulinjaus sekä pilvipalvelujen turvallisuuden auditointikriteeristö, jonka avulla julkishallinnon organisaatio voi arvioida omien pilvipalvelujensa turvallisuutta. Tässä kirjallisuuskatsauksena toteutetussa tutkielmassa selvitettiin pilvipalvelujen turvallisuuden arviointikriteeristöön sekä tieteelliseen kirjallisuuteen pohjautuen, millaisia tekijöitä julkishallinnon organisaation tulee ottaa huomioon pilvipalvelujen turvallisuutta arvioitaessa. Tutkielman tuloksena todettiin, että pilvipalvelujen turvallisuutta arvioitaessa tulee kiinnittää huomiota turvallisuusjohtamiseen, henkilöstöturvallisuuteen, fyysisen ympäristön turvallisuuteen, tietoliikenneturvallisuuteen, identiteetin ja pääsyn hallintaan, tietojärjestelmäturvallisuuteen, salaukseen, käyttöturvallisuuteen, siirrettävyyteen ja yhteensopivuuteen sekä muutostenhallintaan ja järjestelmäkehitykseen. Lisäksi tutkielmassa havaittiin, että pilvipalvelujen turvallisuuden arviointikriteeristössä on kattavasti otettu huomioon kirjallisuudessa esiintyviä pilvipalvelujen turvallisuuteen liittyviä tekijöitä.

The spread of cloud services and their deployment continues to be a growing trend. The public administration has recently published the cloud service policy for the entire public administration, as well as the Finnish audit criteria for the security of cloud services, which enables a public administration organization to assess their own security with the matter at hand. In this literature review, the aim is to investigate the factors that a public administration organization should take into account when assessing cloud services from the security perspective. As a result of this study, it is stated that attention should be paid to security management, personnel security, physical environment security, telecommunication security, identity and access management, information system security, encryption, operational security, portability and compatibility, as well as change management and system management. In addition, the study shows that regarding the factors related to the security of cloud services, the audit criteria are comprehensively considered.