Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Authors
Date
2022Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library reserved for the use of archival materials.
Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät muodostavat tietojärjestelmiä, joita käyttävät niin yksityisen kuin myös julkisen sektorin toimijat. Käsiteltäessä viranomaistietoa tulee tietojärjestelmien täyttää niille asetetut minimivaatimukset, jotka on useassa tapauksessa kuvattuna erilaisiin kriteeristöihin sekä standardeihin. Tietoturva-auditointien tavoitteena on tarkastaa järjestelmällisesti ja puolueettomasti kohdejärjestelmän tietoturvallisuuteen liittyvien hallintakeinojen tila, jotta voidaan todeta, täyttääkö järjestelmä valitussa kriteeristössä sille asetetut vaatimukset. Auditointitoiminnan tulee olla rakenteeltaan järjestelmällistä tarkastustoimintaa, johon liittyy useita vaiheita. Tämän tutkielman tavoitteena oli luoda tapaustutkimuksen omaisesti kohdeorganisaatiolle uusi auditointiviitekehys, joka selkeyttäisi tietoturva-auditointiprosessin rakennetta sekä auttaisi geneerisen kansallisen turvallisuusauditointikriteeristön (Katakri) hyödyntämisessä. Ongelman ratkaisemiseksi käytettiin suunnittelutieteellistä tutkimusmenetelmää tietojärjestelmätieteen tutkimusviitekehyksessä. Tutkimus aloitettiin keräämällä kattava teoriapohja tunnistetun tutkimusongelman sekä sille määritellyn ratkaisun perusteella. Tämän jälkeen tietoturva- auditointiviitekehys suunniteltiin ja kehitettiin tutkimuksen kohdeorganisaation tunnistamien haasteiden pohjalta, jota myöhemmin demonstroitiin sekä arvioitiin kahdeksan kuukauden ajan todellisissa sisäisissä tietoturva- auditointitilanteissa. Viimeisen arviointikierroksen jälkeen tutkimuksen tuloksena syntyi viimeistelty tietoturva-auditointiviitekehys, joka sisälsi niin akateemisessa kuin myös ammatillisessa kirjallisuudessa mainittuja parhaimpia käytänteitä sekä ohjeistuksia geneeristen auditointikriteeristöjen käyttämiseen sen kanssa. Luotu viitekehys antaa uutta tietämystä tieteenalalle, saavuttaa sille asetetut tavoitteet sekä mahdollistaa sen jatkokehittämisen.
...
The key role of information technology as a business enabler also means emphasizing the various aspects of information security when it comes to protecting organizations' information assets. Information systems must meet the minimum requirements set for them when they are used to handle official information. These minimum requirements are commonly set in various criteria and standards. The purpose of information security audit is to systematically and objectively verify the status of the target system's security controls in order to determine whether the system meets the requirements set for it in the selected criteria. These kinds of information security audits contain various systematic tasks and processes that are used to determine the state of the compliance in information systems. The main goal of this master’s thesis was to create a new audit reference framework for the case organization, which would clarify the structure of the information security audit process and help utilize the generic national security audit criteria (Katakri) in the same context. To get to the said goal, a design science research method was used in the information systems sciences research setting. The research began by gathering a comprehensive theoretical basis based on the identified research problem and the solution defined for it. The security audit framework was then designed and developed based on the challenges identified by the target organization of the study, which was later demonstrated and evaluated. Demonstration and evaluation phases were conducted during eight months of real internal security audit situations. After the last iteration of the evaluation phase, the study’s result was a finalized security audit framework that included best practices mentioned in both the academic and professional literature and some additional guidelines for using generic audit criteria with the said framework. The framework provides new knowledge to the field of information systems sciences, achieves the goals that were set during the study and delivers a good baseline for future research.
...
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29624]
Related items
Showing items with similar title or keywords.
-
Evidence in cloud security compliance : towards a meta-evaluation framework
Hentula, Antti (2019)Recently the trend of outsourcing IT services into cloud environments as opposed to traditional locally administrated services has been on the rise. This transition allows enables great cost savings through service flexibility ... -
Pilvipalveluiden tietoturva : standardit ja viitekehykset sekä erityyppisen tiedon suojaaminen
Räsänen, Iiro (2021)Tämän pro gradu -tutkielman tarkoituksena oli tutkia pilvipalveluiden tietoturvaa käsitteleviä standardeja ja viitekehyksiä sekä niiden noudattamista erityyppisen tiedon näkökulmasta. Tietoturvan tasoa on hyvin vaikea ... -
ISO/IEC 27001 -sertifioinnin hankintaperusteet ja sertifiointielimen valintaperusteet
Suhonen, Tatu (2019)ISO/IEC 27001 -sertifikaatti on vapaaehtoinen tietoturvan johtamisjärjestelmäsertifikaatti, joka voidaan myöntää standardin vaatimukset täyttävälle organisaatiolle. Sertifikaatilla organisaatio voi osoittaa, että sen ... -
Analysis of the Next Evolution of Security Audit Criteria
Nykänen, Riku; Kelo, Tomi; Kärkkäinen, Tommi (ArmisteadTEC, 2023)Security assessments are performed for multiple reasons, including compliance with the information security regulation. Amongst other objectives, regulatory requirements are created to increase the ... -
ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen
Salovaara, Sami (2022)Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ...