ISO 27001 -standardiin perustuva tietoturvajohtamisen hallintamalli THL:lle

Abstract

ISMS eli tietoturvan hallintamalli on joukko prosesseja ja politiikkoja, joiden tarkoituksena on ohjata ja hallinnoida organisaation arkaluontoista dataa. Se vähentää riskejä ja turvaa jatkuvuudenhallintaa ja sillä hallinnoidaan käytössä olevia prosesseja, dataa ja teknologioita. Hallintamallin tulee olla yhteensopiva voimassa olevien lakien ja asetusten kanssa. Terveyden ja hyvinvoinnin laitos (THL) suunnittelee ISO 27001 -sertifikaatin hankkimista tulevaisuudessa. Tutkimuksen tehtävänä oli kartoittaa, millainen hallintamalli THL:n tulisi ottaa käyttöön, jotta ISO 27001 -standardin vaatimukset täyttyvät sekä miten organisaation tietoturvavastuut tulisi jakaa.

Tutkimuksessa tarkasteltiin ensin tietoturvan hallintamalleja ja standardeja yleisellä tasolla. Sitten käytiin tarkasti läpi ISO 27001 -standardi ja THL:n nykytila. Työssä oli haasteena juuri samaan aikaan meneillään oleva THL:n organisaatio- ja johtamisuudistus, mutta tutkimus perustettiin johonkin tiettynä ajankohtana olevaan hetkeen ja tehtiin sen verran väljästi, että sitä on helppo muokata muutosten jälkeen.

Lopputuloksena syntyi standardin vaatimusten mukainen Excel-taulukko, joka auttaa sertifikaatin hankkimisen alkaessa työkaluna. Työkalu sisältää kaikki standardin tietoturva- ja riskinhallintavaatimukset, ehdotukset organisaation vastuutahoiksi sekä ehdotetut asiakirjat, joilla voidaan todistaa vaatimuksenmukaisuus.

An information security management system (ISMS), is a set of processes and policies designed to guide and manage an organization’s sensitive data. It reduces risks, secures continuity management and manages existing processes, data and technologies. The governance model must be compatible with applicable laws and regulations. Finnish Institute for Health and Welfare (THL) is planning to obtain ISO 27001 certification in the future. The task of this study was to map out what kind of management model THL should implement in order to meet the requirements of the ISO 27001 standard and how the organisation's information security responsibilities should be divided.

At first, the study looked at different information security management models and existing security standards. The ISO 27001 standard and THL's present state were then carefully reviewed. The challenge was the ongoing organizational and management reform of THL, but the study was set up to a point in time and was done so loosely that it could be easily modified after the changes.

The result of the study was an Excel spreadsheet that meets the requirements of the standard, helping to get certification started, as a tool. The tool includes all the security and risk management requirements of the standard, proposals for the organisation's responsible parties, and proposed documents that can be used to prove compliance.