ISO 27001 -standardiin perustuva tietoturvajohtamisen hallintamalli THL:lle
Authors
Date
2020Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
ISMS eli tietoturvan hallintamalli on joukko prosesseja ja politiikkoja, joiden tarkoituksena on ohjata ja hallinnoida organisaation arkaluontoista dataa. Se vähentää riskejä ja turvaa jatkuvuudenhallintaa ja sillä hallinnoidaan käytössä olevia prosesseja, dataa ja teknologioita. Hallintamallin tulee olla yhteensopiva voimassa olevien lakien ja asetusten kanssa. Terveyden ja hyvinvoinnin laitos (THL) suunnittelee ISO 27001 -sertifikaatin hankkimista tulevaisuudessa. Tutkimuksen tehtävänä oli kartoittaa, millainen hallintamalli THL:n tulisi ottaa käyttöön, jotta ISO 27001 -standardin vaatimukset täyttyvät sekä miten organisaation tietoturvavastuut tulisi jakaa.
Tutkimuksessa tarkasteltiin ensin tietoturvan hallintamalleja ja standardeja yleisellä tasolla. Sitten käytiin tarkasti läpi ISO 27001 -standardi ja THL:n nykytila. Työssä oli haasteena juuri samaan aikaan meneillään oleva THL:n organisaatio- ja johtamisuudistus, mutta tutkimus perustettiin johonkin tiettynä ajankohtana olevaan hetkeen ja tehtiin sen verran väljästi, että sitä on helppo muokata muutosten jälkeen.
Lopputuloksena syntyi standardin vaatimusten mukainen Excel-taulukko, joka auttaa sertifikaatin hankkimisen alkaessa työkaluna. Työkalu sisältää kaikki standardin tietoturva- ja riskinhallintavaatimukset, ehdotukset organisaation vastuutahoiksi sekä ehdotetut asiakirjat, joilla voidaan todistaa vaatimuksenmukaisuus.
...
An information security management system (ISMS), is a set of processes and policies designed to guide and manage an organization’s sensitive data. It reduces risks, secures continuity management and manages existing processes, data and technologies. The governance model must be compatible with applicable laws and regulations. Finnish Institute for Health and Welfare (THL) is planning to obtain ISO 27001 certification in the future. The task of this study was to map out what kind of management model THL should implement in order to meet the requirements of the ISO 27001 standard and how the organisation's information security responsibilities should be divided.
At first, the study looked at different information security management models and existing security standards. The ISO 27001 standard and THL's present state were then carefully reviewed. The challenge was the ongoing organizational and management reform of THL, but the study was set up to a point in time and was done so loosely that it could be easily modified after the changes.
The result of the study was an Excel spreadsheet that meets the requirements of the standard, helping to get certification started, as a tool. The tool includes all the security and risk management requirements of the standard, proposals for the organisation's responsible parties, and proposed documents that can be used to prove compliance.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29141]
Related items
Showing items with similar title or keywords.
-
Tietoturvan kypsyyden määrittäminen
Joensuu, Markus (2023)Tämä pro gradu -tutkielma käsittelee tietoturvan kypsyyden määrittämistä ja määrittämiseen vaikuttavia keskeisiä tekijöitä. Teoriaosuudessa avataan teoreettista taustaa ja käsitteistöä, sekä käydään lävitse aikaisempia ... -
Heräte : validoitu riskien arvioinnin prosessimalli organisaation menestyksen tukemiseksi
Kokkomäki, Tuomas; Nortunen, Mika (2016)Riskien arviointi on osa organisaation kilpailukykyä, jolloin ketterät sekä dynaamiset toimintatavat ovat ratkaisevassa asemassa. Epävarmuus ja toimintaympäristön nopeat muutokset tuovat mukanaan myös mahdollisuuksia. ... -
Jatkuvuussuunnittelu ja sen kehittäminen ICT-liiketoiminnassa : tapaustutkimus
Tuovila, Roope (2020)Jatkuvasti verkottuvassa maailmassa turvallisella tiedon käsittelyllä on yhä kasvavampi rooli yritysten liiketoiminnan jatkuvuuden kannalta. Häiriötilanteisiin on varauduttava. Standardoidulla tietoturvallisuuden ... -
Yrityksen tietoturvariskien kartoitus : tapaustutkimus
Kelzenberg, Helena (2022)Tieto on yksi suojattava kohde muiden tärkeiden liiketoiminnallisten kohteiden tavoin ja sitä onkin tärkeää suojata kriittisenä liiketoiminnan osana. Erityisen tärkeää on suojata tietoa jatkuvasti verkottuvassa ... -
Tietoturvan ja tietosuojan kehittäminen pilviteknologiassa : standardit ja kehysmallit sekä riskienhallinnan näkökulma
Lehtinen, Vesa (2010)Informaatioteknologian kehityksen myötä on syntynyt idea tietojenkäsittelyn myymisestä palveluna minkä tahansa hyödykkeen tavoin. Kustannustehokas, skaalautuva ja helppokäyttöinen pilviteknologia herättää mielenkiintoa ...