Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti
Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin tarkastustyön tekevän sertifiointielimen pitää täyttää auditointia ja sertifiointia koskevan ISO/IEC 27006 -standardin vaatimukset. Kansainvälisen varmennustoimeksiantoja koskevan standardin ISAE 3000 mukaan puolestaan voidaan osoittaa yhdenmukaisuus melkein minkä tahansa soveltuvan kriteeristön kanssa. Tämän tutkimuksen aiheena on selvittää ISO/IEC 27006- ja ISAE 3000 -standardien mukaisesti tehtävien tietoturvan varmennusten yhdistettävyyttä ja yhdistämisen mahdollisia hyötyjä.
Tutkimus on toteutettu laadullisena tapaustutkimuksena, jonka tapausluonne perustuu siihen, että kohteena on kaksi erillistä standardia. Tutkimuksen aineistoina on käytetty ISO/IEC 27006- ja ISAE 3000 -standardeja sekä tietoturva-alalla työskentelevien asiantuntijoiden haastatteluja. Sekä standardien sisältöä että haastatteluaineisto on analysoitu teoriaohjaavan sisällönanalyysin keinoin.
Tutkimuksen tulosten perusteella voidaan päätellä, että ISO/IEC 27006- ja ISAE 3000 -standardien mukaan tehtävät tietoturvan auditoinnit ja varmennukset ovat osittain yhdistettävissä. Yhdistettäessä varmennuksia on huomioitava varmennuksen kohde ja laajuus, tarkastajalle asetettavat, eri standardeista riippuvat osaamis- ja pätevyysvaatimukset, osin eroavat tarkastusprosessit sekä käytettävien kriteeristöjen yhdistettävyys.
Yhdistetystä varmennuksesta hyötyvät sekä tarkastuksen kohdeorganisaatio että toimittaja. Kohdeorganisaatio voi saavuttaa markkinaetua osoittamalla vaatimustenmukaisuutensa kahden eri viitekehyksen kanssa. Tarkastusten yhdistäminen lisää resurssien käytön tehokkuutta ja siten tuottaa taloudellista etua niin kohdeorganisaatiolle kuin toimittajalle.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29740]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
ISO/IEC 27001 -sertifioinnin hankintaperusteet ja sertifiointielimen valintaperusteet
Suhonen, Tatu (2019)ISO/IEC 27001 -sertifikaatti on vapaaehtoinen tietoturvan johtamisjärjestelmäsertifikaatti, joka voidaan myöntää standardin vaatimukset täyttävälle organisaatiolle. Sertifikaatilla organisaatio voi osoittaa, että sen ... -
ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen
Salovaara, Sami (2022)Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ... -
Tietoturvan kypsyyden määrittäminen
Joensuu, Markus (2023)Tämä pro gradu -tutkielma käsittelee tietoturvan kypsyyden määrittämistä ja määrittämiseen vaikuttavia keskeisiä tekijöitä. Teoriaosuudessa avataan teoreettista taustaa ja käsitteistöä, sekä käydään lävitse aikaisempia ... -
Asiakkaan osallistuminen tietoturvan kehittämiseen hankittaessa vahvaa suojausta vaativia ohjelmistojärjestelmiä
Lauhikari, Tarja (2017)Digitalisaatio lisää kyberuhkien mahdollisuutta puolustusvoimien ohjelmistojärjestelmissä. Tietoturvaa täytyy jatkuvasti kehittää, jotta järjestelmien monipuolinen käyttö pysyisi turvallisena. Tutkimuksessa haastateltiin ... -
Jatkuvuussuunnittelu ja sen kehittäminen ICT-liiketoiminnassa : tapaustutkimus
Tuovila, Roope (2020)Jatkuvasti verkottuvassa maailmassa turvallisella tiedon käsittelyllä on yhä kasvavampi rooli yritysten liiketoiminnan jatkuvuuden kannalta. Häiriötilanteisiin on varauduttava. Standardoidulla tietoturvallisuuden ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.