ISO 27001-tietoturvastandardin soveltaminen Carunalla

ISO 27001 -standardi erittelee vaatimukset tietoturvallisuuden hallintajärjestelmän perustamiseen, täytäntöönpanoon, käyttöönottoon, seurantaan, tarkistamiseen, ylläpitoon sekä jatkuvaan parantamiseen. Tässä kandidaatintyössä tutkitaan Carunan ISO 27001 -standardin mukaista tietoturvallisuuden hallintajärjestelmää. Tutkimuksessa on haastateltu carunalaisia, jotka ovat tekemisissä tietoturvatehtävien parissa. Haastatteluaineiston sekä Carunan sisäisen dokumentaation pohjalta on muodostettu nykytila hallintajärjestelmän vahvuuksista ja kehitettävistä kohteista. Carunan tietoturvallisuuden hallintajärjestelmä antaa selkeät toimintatavat ja kokoaa yhteen tietoturvan hallinnan toimenpiteitä ja dokumentaatiota. Tutkimus osoittaa puutteita erityisesti riskienhallinnan, sisäisen auditoinnin ja johdon katselmuksen dokumentaatiossa. Kehitysehdotuksena tietoturvan hallinnalle ehdotettiin dokumentaation selkeyttämistä, työkalujen lisäämistä sekä henkilöstön tietoisuuden parantamista. Carunan tietoturvallisuuden hallintajärjestelmän vaikuttavuuden mittausta, seurantaa ja arviointia tehdään erilaisilla mittareilla, auditoinneilla ja katselmuksilla. Mittausten, seurannan ja arviointien pohjalta voidaan toteuttaa jatkuvaa parantamista, jota tapahtuu esimerkiksi kyberturvallisuuden tiekartassa kuvattuja kehittämishankkeita toteuttamalla sekä erilaisissa palveluiden kehittämisprojekteissa. Näiden tutkimustulosten pohjalta Caruna pystyy parantamaan kehitettäviä kohteita hallintajärjestelmässään sekä nostamaan niitä kehityslistalle esimerkiksi kyberturvallisuuden tiekartalle.