ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen
Tekijät
Päivämäärä
2022Pääsyrajoitukset
Tekijä ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyväskylän yliopiston kirjaston arkistotyösemalta. Ks. https://kirjasto.jyu.fi/kokoelmat/arkistotyoasema..
Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista
on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ylläpitämiseen ja
jalkauttamiseen vaaditaan jatkuvaa parantamista sekä säännöllisiä tietoturva-auditointeja.
Tämän tutkimuksen tavoitteena oli luoda kokonaisvaltainen auditointimalli toimeksiantajan pilvipalvelupohjaisten tietojärjestelmien sekä tietoturvaprosessien katselmointien suorittamiseen. Tutkimuksen tuloksena luotiin auditointimalli, jonka avulla kyettiin selvittämään toimeksiantajan esikuntatietojärjestelmäkokonaisuuden tietoturvallisuuden sekä tietoturvallisuuden hallintajärjestelmän nykytila ISO 27001 -standardin vaatimuksiin peilaten. Työn artefaktiksi muodostunut tietoturvallisuuden auditointimalli on yleisluontoiseksi kehitetty työkalupakki, jonka avulla auditointien suunnittelu, suorittaminen, raportointi sekä parannussuunnittelu voidaan toteuttaa mahdollisimman järjestelmäriippumattomasti.
Tutkimus jakautuu kolmeen osaan. Teoriaosuudessa käsitellään pilvipalveluiden auditointia, kulkua sekä toteutusmenetelmiä, ISO 27001 sekä ISO 27002 -standardeja ja tietoturvan hallintajärjestelmiä. Käytännön osuudessa luodaan auditointimalli toimeksiantajalle. Iteratiivisin menetelmin kehitettyä auditointimallia testataan käytännössä auditoimalla toimeksiantajan tietojärjestelmiä. Auditointimalli käy läpi neljä kehityskierrosta. Neljännen iteraation versio on tutkimuksen liitteenä. Viimeisessä osiossa käydään tutkimuksen aikana nousseet havainnot ja tulokset yhteen johtopäätösten muodossa. Kappaleessa käsitellään myös auditointimallin onnistumisia ja epäonnistumisia, jatkokehitysmahdollisuuksia sekä työhön valittujen tutkimusmenetelmien kritiikkiä.
...
Information security management systems, also known as ISMS, are often at the
heart of the organization’s information security. The most widely known of these
ISMS’s is ISO 27001. The creation, development, maintenance, and implementation of ISMS requires continuous improvement and regular security auditing.
The goal of this thesis was to create a comprehensive model for cloud-based
information system security auditing. The goal of this study was to create an auditing model which could be used to examine the client’s cloud-based information systems’, as well as ISMS’s level of information security at the present
state compared to the requirements presented in ISO 27001 -standard. The resulting artefact of this study is a generic auditing model which can be used to plan,
perform, report, and design the improvements.
The study is divided into three parts. First part focuses on the theory of auditing cloud-based services, ISO 27001 and ISO 27002 standards and information
security management systems. Practical part focuses on the research and development of the previously mentioned auditing model. Using iterative methods,
the auditing model is put to test by auditing the client’s information systems.
Auditing model goes through four cycles of development. The auditing model is
included as an annex into this study. The final part of the thesis is reserved for
conclusions. The successes and failures are discussed, as well as future development ideas for the auditing model.
...
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29743]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Tietoturvan kypsyyden määrittäminen
Joensuu, Markus (2023)Tämä pro gradu -tutkielma käsittelee tietoturvan kypsyyden määrittämistä ja määrittämiseen vaikuttavia keskeisiä tekijöitä. Teoriaosuudessa avataan teoreettista taustaa ja käsitteistöä, sekä käydään lävitse aikaisempia ... -
Yhdistetty tietoturvan varmennus standardien ISO/IEC 27006 ja ISAE 3000 mukaisesti
Eerola, Jyrki (2021)Organisaatiot voivat osoittaa tietoturvansa tason täyttämällä tunnettujen kriteeristöjen vaatimuksia. Tietoturvan hallintajärjestelmästandardin ISO/IEC 27001 vaatimustenmukaisuus voidaan osoittaa sertifioinnilla, jolloin ... -
Asiakkaan osallistuminen tietoturvan kehittämiseen hankittaessa vahvaa suojausta vaativia ohjelmistojärjestelmiä
Lauhikari, Tarja (2017)Digitalisaatio lisää kyberuhkien mahdollisuutta puolustusvoimien ohjelmistojärjestelmissä. Tietoturvaa täytyy jatkuvasti kehittää, jotta järjestelmien monipuolinen käyttö pysyisi turvallisena. Tutkimuksessa haastateltiin ... -
Julkisen hallinnon tietoturvallisuuden arviointikriteeristö tietoturva-arviointien välineenä
Laitila, Rami (2023)Tutkimuksessa pyrittiin selvittämään, miten Julkri eli Julkisen hallinnon tietoturvallisuuden arviointikriteeristö toimii tietoturva-arviointien välineenä ja miten se suhteutuu aiemmin julkaistuihin tietoturvallisuuden ... -
Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Virtanen, Alex (2022)Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät ...
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.