ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen

Abstract

Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ylläpitämiseen ja jalkauttamiseen vaaditaan jatkuvaa parantamista sekä säännöllisiä tietoturva-auditointeja. Tämän tutkimuksen tavoitteena oli luoda kokonaisvaltainen auditointimalli toimeksiantajan pilvipalvelupohjaisten tietojärjestelmien sekä tietoturvaprosessien katselmointien suorittamiseen. Tutkimuksen tuloksena luotiin auditointimalli, jonka avulla kyettiin selvittämään toimeksiantajan esikuntatietojärjestelmäkokonaisuuden tietoturvallisuuden sekä tietoturvallisuuden hallintajärjestelmän nykytila ISO 27001 -standardin vaatimuksiin peilaten. Työn artefaktiksi muodostunut tietoturvallisuuden auditointimalli on yleisluontoiseksi kehitetty työkalupakki, jonka avulla auditointien suunnittelu, suorittaminen, raportointi sekä parannussuunnittelu voidaan toteuttaa mahdollisimman järjestelmäriippumattomasti. Tutkimus jakautuu kolmeen osaan. Teoriaosuudessa käsitellään pilvipalveluiden auditointia, kulkua sekä toteutusmenetelmiä, ISO 27001 sekä ISO 27002 -standardeja ja tietoturvan hallintajärjestelmiä. Käytännön osuudessa luodaan auditointimalli toimeksiantajalle. Iteratiivisin menetelmin kehitettyä auditointimallia testataan käytännössä auditoimalla toimeksiantajan tietojärjestelmiä. Auditointimalli käy läpi neljä kehityskierrosta. Neljännen iteraation versio on tutkimuksen liitteenä. Viimeisessä osiossa käydään tutkimuksen aikana nousseet havainnot ja tulokset yhteen johtopäätösten muodossa. Kappaleessa käsitellään myös auditointimallin onnistumisia ja epäonnistumisia, jatkokehitysmahdollisuuksia sekä työhön valittujen tutkimusmenetelmien kritiikkiä.

Information security management systems, also known as ISMS, are often at the heart of the organization’s information security. The most widely known of these ISMS’s is ISO 27001. The creation, development, maintenance, and implementation of ISMS requires continuous improvement and regular security auditing. The goal of this thesis was to create a comprehensive model for cloud-based information system security auditing. The goal of this study was to create an auditing model which could be used to examine the client’s cloud-based information systems’, as well as ISMS’s level of information security at the present state compared to the requirements presented in ISO 27001 -standard. The resulting artefact of this study is a generic auditing model which can be used to plan, perform, report, and design the improvements. The study is divided into three parts. First part focuses on the theory of auditing cloud-based services, ISO 27001 and ISO 27002 standards and information security management systems. Practical part focuses on the research and development of the previously mentioned auditing model. Using iterative methods, the auditing model is put to test by auditing the client’s information systems. Auditing model goes through four cycles of development. The auditing model is included as an annex into this study. The final part of the thesis is reserved for conclusions. The successes and failures are discussed, as well as future development ideas for the auditing model.