Näytä suppeat kuvailutiedot

dc.contributor.advisorSoliman, Wael
dc.contributor.authorOjalainen, Anniina
dc.date.accessioned2020-10-30T07:23:34Z
dc.date.available2020-10-30T07:23:34Z
dc.date.issued2020
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/72394
dc.description.abstractISO 27001 -tietoturvastandardi ohjaa organisaatiot arvioimaan ja dokumentoimaan tietoturvaprosessejaan. Tietoturvastandardeja on kritisoitu pelkkien prosessien olemassaoloon keskittymiseen prosessien sisällöllisten seikkojen kustannuksella. Tämän Pro Gradu -tutkielman tarkoituksena on arvioida ISO 27001: n soveltuvuutta ohjelmistokehitysympäristöön ja sen vaikutusta työntekijöiden käyttäytymiseen ja kokemuksiin turvallisesta ohjelmistokehityksestä. Tutkielmassa havainnoitiin näitä ilmiöitä seuraavien tutkimuskysymysten avulla: "Kuinka työntekijät kokevat ISO 27001 -standardin käyttöönoton ohjelmistokehitysympäristössä?", "Millaisia ristiriitoja saattaa ilmetä ISO / IEC 27001 -standardivaatimusten ja päivittäisen työn välillä?" ja "Kuinka kohdeyksikkö käsittelee ISO / IEC 27001 -standardin vaatimusten ja päivittäisen työn välisiä ristiriitoja?". Tämä tutkielma koostettiin kirjallisuuskatsauksesta ja empiirisestä tutkimuksesta, joka toteutettiin laadullisena tapaustutkimuksena. Tutkimuksen data kerättiin tekemällä semistrukturoituja haastatteluja ICT-alalla toimivassa organisaatiossa. Kohdeorganisaatio oli ostanut ohjelmistokehitysyrityksen, joka oston jälkeen sulautettiin organisaatioon ohjelmistokehitysyksiköksi. Tutkimuskysymyksiä havainnoitiin ohjelmistokehitysyksikössä kontekstualisointiviitekehyksen ja eri haastatteluteemojen kautta. Teemat käsittelivät kohdeyksikön tietoturvakulttuurin ja käytäntöjen muutosta, ISO 27001:n jalkauttamisprosessia ja työntekijöiden kokemuksia prosessista ja muutoksista. Tutkimuksen tulokset osoittavat, että ISO 27001 voi vaikuttaa työntekijöiden asenteisiin ja tietoturvakäytänteiden noudattamiseen. Toisaalta ISO 27001 aiheuttaa ristiriitoja standardin vaatimusten ja organisaation käytännön vaatimusten välillä. Ristiriidat liittyivät erityisesti koodikatselmoinnin ja kurinpitotoimien dokumentoitiin. Koodikatselmoinnin haasteet ratkaistiin tunnettujen haavoittuvuuksien arviointimekanismeihin nojaten. Kurinpitotoimiin liittyvää ristiriitaa ei saatu täysin ratkaistua: organisaation oli vastattava standardin osittain soveltumattomiin vaatimuksiin, mutta auditoinnin jälkeen kurinpitotoimenpiteet ja niistä kommunikointi ovat jääneet taka-alalle. Tutkimuksen tulokset osoittavat, että kuten projekteissa, myös tietoturvastandardin jalkauttamisessa työntekijöiden osallistuminen, johdon tuki ja riittävä viestintä ovat ratkaisevan tärkeitä työntekijöiden positiivisten kokemusten lisäämiseksi.fi
dc.description.abstractISO 27001 information security management standard provides guidelines to organizations to evaluate and document their information security processes. However, information security management standards have been criticized to focus on the existence of the process but not its actual content. This Master’s Thesis aims to assess ISO 27001’s suitability to software development environment and its impact on employees’ practices and experiences in secure soft-ware development. This thesis observed these phenomena through the following research questions: “How employees experience the ISO 27001 standard’s implementation in a software development environment?”, “What kind of conflicts might appear between ISO 27001 standard requirements and day-to-day work?” and “How the target unit resolves the conflicts between ISO 27001 standard requirements and day-to-day work?”. This thesis consists of a literature review and an empirical research which was conducted as a qualitative case study. The study’s data was collected by conducting semi-structured interviews in an organization operating in ICT. The target organization had acquired a software development company which was merged to the organization as a software development unit. The research questions were observed in the software development unit through a contextualisation framework and research themes that revolved around changes in target unit’s information security culture and practices, process of ISO 27001 implementation and employees’ experiences of the process and changes. The results of the study propose that ISO 27001 can influence employees’ attitudes and compliance towards information security policies. On the other hand, ISO 27001 causes conflicts between its requirements and organization’s practical demands. In this study, the conflicts were related to code reviewing and disciplinary measures documentation. The code reviewing process was resolved based on known vulnerability assessment mechanisms. Conflicts related to disciplinary measures were not fully resolved: the target organization had to answer to the unsuitable standard requirements but after the auditing the disciplinary measures got relegated to the background. The findings of the study indicate that as in projects, in information security management standard implementation employees’ involvement, management’s support and sufficient communication are crucial to make the employees’ experiences more positive.en
dc.format.extent86
dc.format.mimetypeapplication/pdf
dc.language.isoen
dc.subject.othermanagement standard
dc.subject.otherISO 27001
dc.subject.otherstandard implementation
dc.titleISO 27001 information security management standard’s implementation in software development environment : a case study
dc.identifier.urnURN:NBN:fi:jyu-202010306440
dc.type.ontasotPro gradu -tutkielmafi
dc.type.ontasotMaster’s thesisen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.oppiaineTietojärjestelmätiedefi
dc.contributor.oppiaineInformation Systems Scienceen
dc.rights.copyrightJulkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.fi
dc.rights.copyrightThis publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.en
dc.type.publicationmasterThesis
dc.contributor.oppiainekoodi601
dc.subject.ysotietoturva
dc.subject.ysoohjelmistokehitys
dc.subject.ysostandardit
dc.subject.ysodata security
dc.subject.ysosoftware development
dc.subject.ysostandards
dc.format.contentfulltext
dc.type.okmG2


Aineistoon kuuluvat tiedostot

Thumbnail

Aineisto kuuluu seuraaviin kokoelmiin

Näytä suppeat kuvailutiedot