ISO 27001-tietoturvastandardin soveltaminen Carunalla

Abstract

ISO 27001 -standardi erittelee vaatimukset tietoturvallisuuden hallintajärjestelmän perustamiseen, täytäntöönpanoon, käyttöönottoon, seurantaan, tarkistamiseen, ylläpitoon sekä jatkuvaan parantamiseen. Tässä kandidaatintyössä tutkitaan Carunan ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää. Tutkimuksessa on haastateltu carunalaisia, jotka ovat tekemisissä tietoturvatehtävien parissa. Haastatteluaineiston sekä Carunan sisäisen dokumentaation pohjalta on muodostettu nykytila hallintajärjestelmän vahvuuksista ja kehitettävistä kohteista. Carunan tietoturvallisuuden hallintajärjestelmä antaa selkeät toimintatavat ja kokoaa yhteen tietoturvan hallinnan toimenpiteitä ja dokumentaatiota. Tutkimus osoittaa puutteita erityisesti riskienhallinnan, sisäisen auditoinnin ja johdon katselmuksen dokumentaatiossa. Kehitysehdotuksena tietoturvan hallinnalle ehdotettiin dokumentaation selkeyttämistä, työkalujen lisäämistä sekä henkilöstön tietoisuuden parantamista. Carunan tietoturvallisuuden hallintajärjestelmän vaikuttavuuden mittausta, seurantaa ja arviointia tehdään erilaisilla mittareilla, auditoinneilla ja katselmuksilla. Mittausten, seurannan ja arviointien pohjalta voidaan toteuttaa jatkuvaa parantamista, jota tapahtuu esimerkiksi kyberturvallisuuden tiekartassa kuvattuja kehittämishankkeita toteuttamalla sekä erilaisissa palveluiden kehittämisprojekteissa. Näiden tutkimustulosten pohjalta Caruna pystyy parantamaan kehitettäviä kohteita hallintajärjestelmässään sekä nostamaan niitä kehityslistalle esimerkiksi kyberturvallisuuden tiekartalle.

The ISO 27001 standard sets out the requirements for the establishment, implementation, deployment, monitoring, review, maintenance, and continuous improvement of the information security management system. This Bachelor's thesis examines Caruna's ISO 27001 information security management system. In this study, has interviewed Caruna’s employees who are involved in information security tasks. Based on the interview material and Caruna's internal documentation, the current state of the strengths of the management system and the areas to be developed have been formed. Caruna's information security management system provides clear ways of working and brings together security management measures and documentation. The study shows shortcomings, in the documentation of risk management, internal auditing, and management review. As a development proposal for information security management, it was proposed to clarify documentation, add tools, and improve employee awareness. The measurement, monitoring, and evaluation of the effectiveness of Caruna's information security management system is carried out with various indicators, audits, and inspections. Based on measurements, monitoring, and evaluations, it is possible to implement a continuous improvement, for example by implementing the development projects described in the cybersecurity roadmap and in various service development projects. Based on these research results, Caruna will be able to improve the targets being developed in its management system and put them on the development list, for example, on the cybersecurity roadmap.