ISO 27000 -tietoturvastandardisarja osana nykypäivän yritysten tietoturvallisuuden hallintaa

Abstract

Tämän tutkimuksen tavoitteena oli selvittää, miten ISO 27000 - tietoturvastandardisarja on osana nykypäivän yritysten tietoturvallisuuden hallintaa. Tutkimuksessa keskitytään standardeihin ISO 27000, ISO 27001 sekä ISO 27002, joista ISO 27001 -standardia käsiteltiin yrityksille myönnettävän ISO 27001 -sertifikaatin avulla. Näkökulma tarkasteluun valittiin kyseisten standardien myötä, sillä ne keskittyvät olennaisesti yritysten tietoturvallisuuden hallintaan sekä sen suunnitteluun, toteutukseen, ylläpitoon ja parantamiseen. Tutkimuksen rajaus kohdistettiin Suomessa toimiviin eri liiketoiminta-alan yrityksiin, jotka ovat viime vuosien aikana saavuttaneet ISO 27001 -sertifikaatin. Tutkimuksen kirjallisuuskatsaus muodostuu yritysten tietoturvallisuuden hallinnasta sekä tietoturvapolitiikan ja tietoturvan hallintajärjestelmän viitekehyksestä. Kirjallisuuskatsauksessa keskitytään myös ISO 27000 - tietoturvastandardisarjaan ja erityisesti standardeihin ISO 27000, ISO 27001 ja ISO 27002, sekä niiden historiaan ja kehitykseen aina nykyhetkeen asti. Tämä tutkimus toteutettiin laadullisena tutkimuksena ja laadullisen aineiston keräämiseen käytettiin sähköistä kyselylomaketta, johon vastasivat tutkimukseen osallistuneet yritysten edustajat. Tutkimuksen tulosten tavoitteena oli selvittää, kuinka tutkimukseen osallistuvat yritykset käyttävät standardeja ISO 27000 ja ISO 27002 tietoturvallisuutensa hallinnassa sekä sen ohjaamisessa. Tulosten tavoitteena oli myös tarkastella yritysten saavuttaman ISO 27001 - sertifikaatin hakuprosessia muun muassa sen keston ja haastavuuden näkökulmista. Tutkimukseen osallistui neljä yritystä, joten otanta oli pieni. Tämän takia yleistävien päätelmien teko Suomessa toimivien eri liiketoiminta-alan yritysten tietoturvallisuuden hallinnasta ei voida tehdä. Tutkimustulokset kuitenkin antavat yleiskatsauksen juuri tämän tutkimukseen osallistuneiden yritysten tietoturvallisuuden hallinnasta ISO 27000 -tietoturvastandardin avulla.

The aim of this study was to find out how the ISO 27000 series of information security standards is part of today's organizations information security management. The research focuses on the standards ISO 27000, ISO 27001, and ISO 27002, of which the ISO 27001 standard was handled with the help of the ISO 27001 certificate granted to organizations. The perspective for the review was chosen along with the standards in question, as they essentially focus on the management of organizations information security and its planning, implementation, maintenance and improvement. The scope of the research was focused on organizations operating in various business sectors in Finland, which have achieved the ISO 27001 certificate in recent years. The literature review of the research consists of the information security management of organizations and the reference framework of the information security policy and information security management system. The literature review also focuses on the ISO 27000 series of information security standards and especially the standards ISO 27000, ISO 27001 and ISO 27002, as well as their history and development up to the present. This study was carried out as a qualitative study and an electronic questionnaire was used to collect qualitative data, which was answered by the representatives of the organizations that participated in the study. The aim of the results of the study was to find out how the organizations participating in the study use the standards ISO 27000 and ISO 27002 in managing and directing their information security. The goal of the results was also to examine the application process for the ISO 27001 certificate achieved by the companies, for example from the perspective of its duration and challenge. Four organizations participated in the study, so the sample was small. Because of this, it is not possible to make generalizing conclusions about the information security management of organizations operating in different business sectors in Finland. The research results, however, give an overview of the information security management of the organizations that participated in the research using the ISO 27000 information security standard.