Tietoturvallisuuden itsearviointimallin kehittäminen turvallisuuskriittisessä organisaatiossa
Tekijät
Päivämäärä
2023Pääsyrajoitukset
Tekijä ei ole antanut lupaa avoimeen julkaisuun, joten aineisto on luettavissa vain Jyväskylän yliopiston kirjaston arkistotyösemalta. Ks. https://kirjasto.jyu.fi/fi/tyoskentelytilat/laitteet-ja-tilat#autotoc-item-autotoc-2.
Tekijänoikeudet
© The Author(s)
Organizations aim to ensure the accessibility, integrity, and reliability of their information assets by implementing security controls within their operational environments. In information systems of safety-critical organizations, sensitive or
classified information is frequently processed, requiring compliance with security criteria and formal auditing. Official auditing is always conducted by an external inspection body, but performing an internal self-assessment can prepare
the organization, thus conserving resources during the actual audit. The organization's security level can also be improved by self-assessing information systems
that are not intended for external audits. Self-assessment should be systematic
and continuous, requiring a framework to be in place. The objective of this research was to identify best practices in self-assessment for information security
and develop a self-assessment model using design science research methodology
for the target organization. The theoretical foundation for the model was established through a literature review, followed by the development of the artifact,
the self-assessment model. The best practices of the model were then compared
to data obtained from expert interviews to validate the model. The result of the
research is a self-assessment model for information system security, providing
the self-assessment team in the target organization with theory-based best practices and improvement suggestions for their existing operational model. Additionally, the model is open to further development, which was one of the goals
in the development of the artifact.
...
Organisaatiot pyrkivät varmistamaan informaatio-omaisuuseriensä saavutettavuuden, eheyden sekä luotettavuuden implementoimalla toimintaympäristöönsä tietoturvallisuutta parantavia kontrolleja. Turvallisuuskriittisten organisaatioiden tietojärjestelmissä käsitellään usein turvallisuusluokiteltua, tai salassa
pidettävää tietoa, mikä vaatii kyseiseltä tietojärjestelmältä turvallisuuskriteeristön vaatimustenmukaisuutta ja siihen kohdistettavaa auditointia, jossa vaatimustenmukaisuus arvioidaan. Virallisen auditoinnin suorittaa aina ulkoinen arviointilaitos, mutta sitä voidaan alustaa toteuttamalla organisaation sisäinen itsearviointi, mikä säästää organisaation resursseja varsinaisessa auditoinnissa.
Organisaation tietoturvan tasoa voidaan parantaa itsearvioimalla myös tietojärjestelmiä, joita ei ole tarkoitus auditoida ulkoisesti. Itsearvioinnin tulisi olla systemaattista sekä jatkuvaa, minkä toteutumiseksi tarvitaan viitekehystä. Tämän
tutkimuksen tavoitteena oli löytää parhaita käytänteitä tietoturvallisuuden itsearviointeihin liittyen sekä kehittää suunnittelutieteen tutkimusmenetelmää
hyödyntäen kohdeorganisaation käyttöön itsearviointimalli, joka toimisi viitekehyksenä kohdeorganisaatiossa toteutettaville itsearvioinneille. Tutkielman teoriapohja luotiin mallia varten kirjallisuuskatsauksen avulla, minkä jälkeen kehitettiin artefakti, eli itsearviointimalli. Mallin parhaita käytänteitä verrattiin tämän
jälkeen asiantuntijoiden teemahaastatteluista saatuun aineistoon, minkä avulla
mallia pyrittiin validoimaan. Tutkimuksen tuloksena kehitettiin tietojärjestelmien tietoturvallisuuden itsearviointimalli, joka tarjoaa kohdeorganisaation itsearviointeja tekevälle ryhmälle teoriaan perustuvia parhaita käytänteitä sekä kehitysehdotuksia käytössä olevaan toimintamalliin. Lisäksi malli on jatkokehitettävissä, mikä oli yksi artefaktin kehityksen tavoitteista.
...
Asiasanat
Metadata
Näytä kaikki kuvailutiedotKokoelmat
- Pro gradu -tutkielmat [29564]
Lisenssi
Samankaltainen aineisto
Näytetään aineistoja, joilla on samankaltainen nimeke tai asiasanat.
-
Tietoturva-auditointiprosessin kehittäminen viranomaisnäkökulmasta
Virtanen, Alex (2022)Informaatioteknologian keskeinen rooli liiketoiminnan mahdollistajana merkitsee myös tietoturvallisuuden eri osa-alueiden korostamista, kun tarkoituksena on suojata organisaatioiden informaatio-omaisuuseriä. Nämä omaisuuserät ... -
Leveraging National Auditing Criteria to Implement Cybersecurity Safeguards for the Automotive Emergency Response Vehicles : A case study from Finland
Rathod, Paresh; Kämppi, Pasi; Hämäläinen, Timo (Convergence Information Society (GlobalCIS), 2017)A modern Emergency Response Vehicle (ERV) is a combination of emergency services and functional mobile office on the wheels. The mobile office is aiming to leverage the benefits of fixed office while moving on the wheels. ... -
Massadatan hyödyntäminen tietoturvallisuuden näkökulmasta
Niskanen, Tatu (2021)Massadata, johon viitataan yleisesti myös käsitteellä Big data, on kokoelma dataa, joka on kooltaan todella suuri, se on luonteeltaan monipuolista ja hajanaista, ja sitä tulee nopeasti lisää. Massadata aiheuttaa organisaatioille ... -
Teknostressin ja tietoturvallisuuden vaikutukset toisiinsa
Hornborg, Jenny (2020)Digitalisaation myötä teknologia on luonut organisaatioille ja yksilöille täysin uusia mahdollisuuksia, mutta tuonut mukanaan myös uusia uhkakuvia. Organisaatioissa on koettu muutoksia toimintatavoissa ja työskentely on ... -
Etäyhteydet yrityksen tietoverkkoon tietoturvallisuuden näkökulmasta
Kankaanpää, Jorma (2005)
Ellei toisin mainittu, julkisesti saatavilla olevia JYX-metatietoja (poislukien tiivistelmät) saa vapaasti uudelleenkäyttää CC0-lisenssillä.