Show simple item record

dc.contributor.advisorSiponen, Mikko
dc.contributor.authorFerreira, Janne
dc.date.accessioned2020-12-14T10:33:47Z
dc.date.available2020-12-14T10:33:47Z
dc.date.issued2020
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/73153
dc.description.abstractTämä tutkielma käsittelee Julkisen hallinnon tiedonhallinnasta annetun lain (Tiedonhallintalaki) ja tietoturvallisuuden hallinnan vaatimuksia IT-ulkoistuksissa. Tiedonhallintalain 5§:ssä säädetään viranomaisen velvollisuu-desta laatia ja ylläpitää tiedonhallintamalli, jossa kuvataan viranomaisten tehtävien hoidossa toteutettava tiedonhallinta mukaan lukien tietoturvallisuuden hallinta. Julkisorganisaatiot yhä enenevässä määrin ulkoistavat IT-toimintojaan yksityisille palveluntarjoajille, mutta ulkoistettujen palvelujen osalta viranomaiselle jää aina lakisääteinen vastuu palveluntarjoajien toiminnan ohjauksesta sekä valvonnasta. Tietoturvavaatimukset ovat hankintavaiheessa keino, jolla viranomainen määrittelee palveluntarjoajalle tietoturvallisuuden tason, joka hankittavissa palveluissa on toteutettava. Laadullisessa tutkimuksessa perehdyttiin sisällönanalyysin keinoin kahdenkymmenen IT-ulkoistuksen hankinta-asiakirjoihin ja niiden sisältämiin tietoturvavaatimuksiin. Tutkimuksen tavoitteena oli ymmärtää, miten tiedonhallintalaki, tietoturvallisuuden hallinta sekä tietoturvavaatimukset liittyvät toisiinsa julkisissa hankinnoissa. Toisena tavoitteena oli saada yleinen käsitys siitä, mitä oman toimintansa IT-toimintoja viranomaiset ulkoistavat yksityisille palveluntarjoajille. Aineisto osoitti, että IT-ulkoistuksia tehdään niin asiantuntijoiden, laitteistojen kuin tietojärjestelmien osalta. Tietoturvavaatimukset tulisi määritellä aina hankinnan kohteen pohjalta, eikä tyytyä vakiosisältöisiin sopimusliitteisiin. Tutkimuksen tuloksena syntyi ylätason kuvaus hankinnan tietoturvallisuudenhallintamallista (Information Security Management System, ISMS), joka huomioi myös tiedonhallintamallin vaatimukset tietoturvallisuustoimenpiteiden kuvaamisesta. Malli antaa myös esimerkkejä, miten olemassa olevia vaatimuslähteitä voidaan hyödyntää tiedonhallintalain vaatimien kuvausten määrittelyssä.fi
dc.description.abstractThis thesis discusses of the requirements of Act on Information Management in Public Administration (Tiedonhallintalaki) and information security management in the context of IT outsourcing. According to section 5 of the Act an authority shall maintain an information management model which defines and describes the information management including information security in its operating environment. IT outsourcing has become more and more popular in Public organizations, but authorities cannot outsource their responsibilities to supervise the outsourced IT functions. Information security requirements engineering is the function to manage the information security level of the acquisition. This qualitative research utilized content analysis methodology and explored 20 IT outsourcing cases through their tender documents and information security requirements. Goal of the research was to provide understanding on the relations between the Act on Information Management in Public Administration, information security management and information security requirements in the context of IT outsourcing. Another interest was to find out which IT functions truly are outsourced by Finnish authorities. The material showed that outsourcing cases may include anything between workforce (consultants), information systems (software) and infrastructure (datacenter services, hardware). Information security requirements should always be based on the object of the acquisition instead of constant agreement templates. A metamodel of Information Security Management System (ISMS) in IT outsourcing was formed according to the results of the content analysis. The model includes the requirements of the section 5 of the Act on Information Management in Public Administration. Also examples of the relations and applicability between ISO 27001 requirements, VAHTI requirements and the information management model are given.en
dc.format.extent81
dc.format.mimetypeapplication/pdf
dc.language.isofi
dc.subject.othertiedonhallintalaki
dc.subject.otherIT-ulkoistus
dc.subject.othertietoturvavaatimukset
dc.subject.otherturvallisuusvaatimukset
dc.subject.othertiedonhallintamalli
dc.subject.otherISMS
dc.titleTiedonhallintamalli ja tietoturvallisuudenhallintamalli IT-ulkoistuksissa
dc.identifier.urnURN:NBN:fi:jyu-202012147102
dc.type.ontasotPro gradu -tutkielmafi
dc.type.ontasotMaster’s thesisen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.laitosInformation Technologyen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.oppiaineTietojenkäsittelytiedefi
dc.contributor.oppiaineComputer Scienceen
dc.rights.copyrightJulkaisu on tekijänoikeussäännösten alainen. Teosta voi lukea ja tulostaa henkilökohtaista käyttöä varten. Käyttö kaupallisiin tarkoituksiin on kielletty.fi
dc.rights.copyrightThis publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.en
dc.type.publicationmasterThesis
dc.contributor.oppiainekoodi601
dc.subject.ysoulkoistaminen
dc.subject.ysotietoturva
dc.subject.ysojulkiset hankinnat
dc.subject.ysojulkinen hallinto
dc.format.contentfulltext
dc.type.okmG2


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record