Keskuspuiston ammattiopisto: tietoturvakartoituksesta tietoturvan hallintajärjestelmään

Abstract

Opinnäytetyön tarkoituksena on ollut tutkia, kuinka koulun tietoturvan nykytila selvitetään ja kuinka tietoturvallisuuden hallintajärjestelmä suunnitellaan, toteutetaan ja kehitetään kouluorganisaatiossa käyttäen hyväksi standardissa ISO/IEC 27001:fi esitettyjä valvontatavoitteita ja turvamekanismeja. Tutkimusmenetelmänä on käytetty toimintatukimusta, jossa tietoturvan nykytilaa on verrattu standardin esittämään ihannetilaan. Vertailusta saadut tulokset esitetään ja ehdotus tietoturvan hallintajärjestelmän käyttöönotolle tehdään. Tutkimus tehtiin Keskuspuiston ammattiopistossa Helsingissä syksyllä 2008. Työn on tarkoitus toimia apuvälineenä myös toisille organisaatioille, jotka suunnittelevat tietoturvan hallintajärjestelmän käyttöönottoa ja/tai tietoturvan tilan kartoitusta. Tutkittavina aihealueina olivat tietoturvallisuuden hallintajärjestelmään liittyvät standardit ISO/IEC 27002 ja ISO/IEC 27001:fi sekä valtionhallinnon tietoturvallisuuteen liittyvä ohjeistus ja Sosiaali- ja terveysalan tutkimus- ja kehittämiskeskuksen tietoturvallisuussuositukset. Muu tutkimuksen lähdemateriaali liittyy tietoturvallisuudesta kertovaan kirjallisuuteen ja sähköiseen lähdeaineistoon.

Toimintatutkimuksen avulla pyritään kehittämään Keskuspuiston ammattiopiston tietoturvaa vaikuttamalla organisaation toimintatapoihin. Vertailemalla nykytilannetta standardien esittämään tilaan laaditaan kehittämisohjelma. Tutkimus osoitti, että tietoturvallisuuden hallintajärjestelmän kehittäminen on jatkuva prosessi. Toistuvan syklin vaiheet ovat suunnittelu, toteutus, arviointi ja kehitys. Standardien avulla luodaan uskottava tietoturvallisuuden hallintajärjestelmä ja helpotetaan tietoturvan hallintajärjestelmän kehittämisprosessin dokumentointia. Tietoturvan hallintajärjestelmän asteittaista käyttöönottoa suositellaan Keskuspuiston ammattiopistolle. Sopivat etenemisaskelmat olisivat: johdon hyväksymän tietoturvapolitiikan laatiminen, riskikartoitus, suojattavan tiedon määritteleminen, työntekijöiden motivointi tietoturvatyöhön, tietoturvatietoisuuden lisääminen varsinkin rekrytointivaiheessa ja järjestelmätuen yhtenäiset kirjalliset toimintaohjeet

The purpose of the thesis has been to find out the current status of the information security at Keskuspuisto Vocational Collage and the method for planning, executing, implementing and auditing an information security managing system (ISMS) in the commissioning vocational school. The modeling source is the standard ISO/IEC 27001and its control objectives and controls. Survey research has been used as the research method comparing the present state of information security with the ideal model of the standard. The results of the comparison are presented and a proposal for implementing ISMS is made. The research was made in Keskuspuisto Vocational Collage in Helsinki in the autumn of 2008. The purpose of the thesis is also to serve as a model and instrument for other organisations and schools who are investigating their possibilities to implement ISMS and/or examine the state of their information security. The researched fields have been the associated with ISMS standards ISO/IEC 27002 and ISO/IEC 27001, as well as the public administration information security guidelines and public administration information security references. The other background material was obtained from various information security and electronic literature.

The intention of the survey is to develop the information security of Keskuspuisto Vocational Collage by influencing the ways of its actions. A development plan is made by comparing the current status with that of the standard. The survey indicated that the development of ISMS is a continuous process. The repeating stages of the cycle are planning, implementing, evaluating and developing. A stepwise implementation of ISMS is recommended at Keskuspuisto Vocational Collage. Proper steps for the development are: an information security policy document approved by management, implementation of a risk treatment plan, definition of the asset management, motivation of employees into safe approach, increase of information security consciousness especially in the recruiting process and developing uniform written instructions for the system administrators.