Show simple item record

dc.contributor.advisorSeppänen, Ville
dc.contributor.advisorTakala, Arttu
dc.contributor.authorRönkä, Aleksanteri
dc.date.accessioned2024-01-08T07:23:59Z
dc.date.available2024-01-08T07:23:59Z
dc.date.issued2023
dc.identifier.urihttps://jyx.jyu.fi/handle/123456789/92553
dc.description.abstractOrganizations aim to ensure the accessibility, integrity, and reliability of their information assets by implementing security controls within their operational environments. In information systems of safety-critical organizations, sensitive or classified information is frequently processed, requiring compliance with security criteria and formal auditing. Official auditing is always conducted by an external inspection body, but performing an internal self-assessment can prepare the organization, thus conserving resources during the actual audit. The organization's security level can also be improved by self-assessing information systems that are not intended for external audits. Self-assessment should be systematic and continuous, requiring a framework to be in place. The objective of this research was to identify best practices in self-assessment for information security and develop a self-assessment model using design science research methodology for the target organization. The theoretical foundation for the model was established through a literature review, followed by the development of the artifact, the self-assessment model. The best practices of the model were then compared to data obtained from expert interviews to validate the model. The result of the research is a self-assessment model for information system security, providing the self-assessment team in the target organization with theory-based best practices and improvement suggestions for their existing operational model. Additionally, the model is open to further development, which was one of the goals in the development of the artifact.en
dc.description.abstractOrganisaatiot pyrkivät varmistamaan informaatio-omaisuuseriensä saavutettavuuden, eheyden sekä luotettavuuden implementoimalla toimintaympäristöönsä tietoturvallisuutta parantavia kontrolleja. Turvallisuuskriittisten organisaatioiden tietojärjestelmissä käsitellään usein turvallisuusluokiteltua, tai salassa pidettävää tietoa, mikä vaatii kyseiseltä tietojärjestelmältä turvallisuuskriteeristön vaatimustenmukaisuutta ja siihen kohdistettavaa auditointia, jossa vaatimustenmukaisuus arvioidaan. Virallisen auditoinnin suorittaa aina ulkoinen arviointilaitos, mutta sitä voidaan alustaa toteuttamalla organisaation sisäinen itsearviointi, mikä säästää organisaation resursseja varsinaisessa auditoinnissa. Organisaation tietoturvan tasoa voidaan parantaa itsearvioimalla myös tietojärjestelmiä, joita ei ole tarkoitus auditoida ulkoisesti. Itsearvioinnin tulisi olla systemaattista sekä jatkuvaa, minkä toteutumiseksi tarvitaan viitekehystä. Tämän tutkimuksen tavoitteena oli löytää parhaita käytänteitä tietoturvallisuuden itsearviointeihin liittyen sekä kehittää suunnittelutieteen tutkimusmenetelmää hyödyntäen kohdeorganisaation käyttöön itsearviointimalli, joka toimisi viitekehyksenä kohdeorganisaatiossa toteutettaville itsearvioinneille. Tutkielman teoriapohja luotiin mallia varten kirjallisuuskatsauksen avulla, minkä jälkeen kehitettiin artefakti, eli itsearviointimalli. Mallin parhaita käytänteitä verrattiin tämän jälkeen asiantuntijoiden teemahaastatteluista saatuun aineistoon, minkä avulla mallia pyrittiin validoimaan. Tutkimuksen tuloksena kehitettiin tietojärjestelmien tietoturvallisuuden itsearviointimalli, joka tarjoaa kohdeorganisaation itsearviointeja tekevälle ryhmälle teoriaan perustuvia parhaita käytänteitä sekä kehitysehdotuksia käytössä olevaan toimintamalliin. Lisäksi malli on jatkokehitettävissä, mikä oli yksi artefaktin kehityksen tavoitteista.fi
dc.format.extent57
dc.language.isofin
dc.rightsIn Copyright
dc.subject.otherkatakri
dc.subject.otherkriteeristö
dc.titleTietoturvallisuuden itsearviointimallin kehittäminen turvallisuuskriittisessä organisaatiossa
dc.identifier.urnURN:NBN:fi:jyu-202401081056
dc.type.ontasotMaster’s thesisen
dc.type.ontasotPro gradu -tutkielmafi
dc.contributor.tiedekuntaFaculty of Information Technologyen
dc.contributor.tiedekuntaInformaatioteknologian tiedekuntafi
dc.contributor.laitosInformation Technologyen
dc.contributor.laitosInformaatioteknologiafi
dc.contributor.yliopistoUniversity of Jyväskyläen
dc.contributor.yliopistoJyväskylän yliopistofi
dc.contributor.oppiaineInformation Systems Scienceen
dc.contributor.oppiaineTietojärjestelmätiedefi
dc.rights.copyright© The Author(s)
dc.rights.accesslevelrestrictedAccess
dc.contributor.oppiainekoodi601
dc.subject.ysokontrolli
dc.subject.ysoitsearviointi
dc.subject.ysotietoturva
dc.rights.urlhttps://rightsstatements.org/page/InC/1.0/
dc.rights.accessrightsThe author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (https://kirjasto.jyu.fi/en/workspaces/facilities/facilities#autotoc-item-autotoc-2).en
dc.rights.accessrightsTekijä ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyväskylän yliopiston kirjaston arkistotyösemalta. Ks. https://kirjasto.jyu.fi/fi/tyoskentelytilat/laitteet-ja-tilat#autotoc-item-autotoc-2.fi


Files in this item

Thumbnail

This item appears in the following Collection(s)

Show simple item record

In Copyright
Except where otherwise noted, this item's license is described as In Copyright