Tietoturvallisuuden itsearviointimallin kehittäminen turvallisuuskriittisessä organisaatiossa
Authors
Date
2023Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (https://kirjasto.jyu.fi/en/workspaces/facilities/facilities#autotoc-item-autotoc-2).
Copyright
© The Author(s)
Organizations aim to ensure the accessibility, integrity, and reliability of their information assets by implementing security controls within their operational environments. In information systems of safety-critical organizations, sensitive or
classified information is frequently processed, requiring compliance with security criteria and formal auditing. Official auditing is always conducted by an external inspection body, but performing an internal self-assessment can prepare
the organization, thus conserving resources during the actual audit. The organization's security level can also be improved by self-assessing information systems
that are not intended for external audits. Self-assessment should be systematic
and continuous, requiring a framework to be in place. The objective of this research was to identify best practices in self-assessment for information security
and develop a self-assessment model using design science research methodology
for the target organization. The theoretical foundation for the model was established through a literature review, followed by the development of the artifact,
the self-assessment model. The best practices of the model were then compared
to data obtained from expert interviews to validate the model. The result of the
research is a self-assessment model for information system security, providing
the self-assessment team in the target organization with theory-based best practices and improvement suggestions for their existing operational model. Additionally, the model is open to further development, which was one of the goals
in the development of the artifact.
...
Organisaatiot pyrkivät varmistamaan informaatio-omaisuuseriensä saavutettavuuden, eheyden sekä luotettavuuden implementoimalla toimintaympäristöönsä tietoturvallisuutta parantavia kontrolleja. Turvallisuuskriittisten organisaatioiden tietojärjestelmissä käsitellään usein turvallisuusluokiteltua, tai salassa
pidettävää tietoa, mikä vaatii kyseiseltä tietojärjestelmältä turvallisuuskriteeristön vaatimustenmukaisuutta ja siihen kohdistettavaa auditointia, jossa vaatimustenmukaisuus arvioidaan. Virallisen auditoinnin suorittaa aina ulkoinen arviointilaitos, mutta sitä voidaan alustaa toteuttamalla organisaation sisäinen itsearviointi, mikä säästää organisaation resursseja varsinaisessa auditoinnissa.
Organisaation tietoturvan tasoa voidaan parantaa itsearvioimalla myös tietojärjestelmiä, joita ei ole tarkoitus auditoida ulkoisesti. Itsearvioinnin tulisi olla systemaattista sekä jatkuvaa, minkä toteutumiseksi tarvitaan viitekehystä. Tämän
tutkimuksen tavoitteena oli löytää parhaita käytänteitä tietoturvallisuuden itsearviointeihin liittyen sekä kehittää suunnittelutieteen tutkimusmenetelmää
hyödyntäen kohdeorganisaation käyttöön itsearviointimalli, joka toimisi viitekehyksenä kohdeorganisaatiossa toteutettaville itsearvioinneille. Tutkielman teoriapohja luotiin mallia varten kirjallisuuskatsauksen avulla, minkä jälkeen kehitettiin artefakti, eli itsearviointimalli. Mallin parhaita käytänteitä verrattiin tämän
jälkeen asiantuntijoiden teemahaastatteluista saatuun aineistoon, minkä avulla
mallia pyrittiin validoimaan. Tutkimuksen tuloksena kehitettiin tietojärjestelmien tietoturvallisuuden itsearviointimalli, joka tarjoaa kohdeorganisaation itsearviointeja tekevälle ryhmälle teoriaan perustuvia parhaita käytänteitä sekä kehitysehdotuksia käytössä olevaan toimintamalliin. Lisäksi malli on jatkokehitettävissä, mikä oli yksi artefaktin kehityksen tavoitteista.
...
Keywords
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29048]
License
Related items
Showing items with similar title or keywords.
-
Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Virtanen, Alex (2022)Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät ... -
Leveraging National Auditing Criteria to Implement Cybersecurity Safeguards for the Automotive Emergency Response Vehicles : A case study from Finland
Rathod, Paresh; Kämppi, Pasi; Hämäläinen, Timo (Convergence Information Society (GlobalCIS), 2017)A modern Emergency Response Vehicle (ERV) is a combination of emergency services and functional mobile office on the wheels. The mobile office is aiming to leverage the benefits of fixed office while moving on the wheels. ... -
Massadatan hyödyntäminen tietoturvallisuuden näkökulmasta
Niskanen, Tatu (2021)Massadata, johon viitataan yleisesti myös käsitteellä Big data, on kokoelma dataa, joka on kooltaan todella suuri, se on luonteeltaan monipuolista ja hajanaista, ja sitä tulee nopeasti lisää. Massadata aiheuttaa organisaatioille ... -
Teknostressin ja tietoturvallisuuden vaikutukset toisiinsa
Hornborg, Jenny (2020)Digitalisaation myötä teknologia on luonut organisaatioille ja yksilöille täysin uusia mahdollisuuksia, mutta tuonut mukanaan myös uusia uhkakuvia. Organisaatioissa on koettu muutoksia toimintatavoissa ja työskentely on ... -
Etäyhteydet yrityksen tietoverkkoon tietoturvallisuuden näkökulmasta
Kankaanpää, Jorma (2005)