ISO 27001 -standardiin perustuvan tietoturvan auditointimallin kehittäminen

Organisaatioiden tietoturvallisuuden keskiössä ovat usein tietoturvan hallintajärjestelmät. Tunnetuin tietoturvallisuuden hallintajärjestelmien standardeista on ISO 27001. Hallintajärjestelmien luomiseen, kehittämiseen, ylläpitämiseen ja jalkauttamiseen vaaditaan jatkuvaa parantamista sekä säännöllisiä tietoturva-auditointeja. Tämän tutkimuksen tavoitteena oli luoda kokonaisvaltainen auditointimalli toimeksiantajan pilvipalvelupohjaisten tietojärjestelmien sekä tietoturvaprosessien katselmointien suorittamiseen. Tutkimuksen tuloksena luotiin auditointimalli, jonka avulla kyettiin selvittämään toimeksiantajan esikuntatietojärjestelmäkokonaisuuden tietoturvallisuuden sekä tietoturvallisuuden hallintajärjestelmän nykytila ISO 27001 -standardin vaatimuksiin peilaten. Työn artefaktiksi muodostunut tietoturvallisuuden auditointimalli on yleisluontoiseksi kehitetty työkalupakki, jonka avulla auditointien suunnittelu, suorittaminen, raportointi sekä parannussuunnittelu voidaan toteuttaa mahdollisimman järjestelmäriippumattomasti. Tutkimus jakautuu kolmeen osaan. Teoriaosuudessa käsitellään pilvipalveluiden auditointia, kulkua sekä toteutusmenetelmiä, ISO 27001 sekä ISO 27002 -standardeja ja tietoturvan hallintajärjestelmiä. Käytännön osuudessa luodaan auditointimalli toimeksiantajalle. Iteratiivisin menetelmin kehitettyä auditointimallia testataan käytännössä auditoimalla toimeksiantajan tietojärjestelmiä. Auditointimalli käy läpi neljä kehityskierrosta. Neljännen iteraation versio on tutkimuksen liitteenä. Viimeisessä osiossa käydään tutkimuksen aikana nousseet havainnot ja tulokset yhteen johtopäätösten muodossa. Kappaleessa käsitellään myös auditointimallin onnistumisia ja epäonnistumisia, jatkokehitysmahdollisuuksia sekä työhön valittujen tutkimusmenetelmien kritiikkiä.