ISO/IEC 27001 mukainen puuteanalyysi Keski-Suomen alueen yritykselle
Väänänen, Kalle (2021)
Väänänen, Kalle
2021
All rights reserved. This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2021112922283
https://urn.fi/URN:NBN:fi:amk-2021112922283
Tiivistelmä
ISO/IEC 27001 on johtamisen ja hallinnan standardi, jonka avulla voidaan luoda riskiperusteinen hallintajärjestelmä ja sitä kautta näyttää, että tietoturvallisuuteen liittyvät asiat on otettu organisaatiossa huomioon.
Se on yksi kansainvälisesti käytetyimmistä tietoturvallisuuden hallinnan standardeista. Tällaiseen standardiin sertifioituminen voi vaikuttaa positiivisesti yrityksen imagoon, varsinkin viimeaikaisten tietoturvaskandaalien jälkeen.
Opinnäytetyössä tehtiin puuteanalyysi Keski-Suomessa sijaitsevalle yritykselle. Tavoitteena oli saada tietopohja yrityksen nykytilasta ja täten helpottaa yrityksen tulevaisuuden standardoitumisprosessin aloittamista.
Puuteanalyysiä varten selvitettiin ISO/IEC 27001 standardin vaatimukset ja luotiin niistä luettelo kysymyksiä, joihin vastausvaihtoehdot olivat OK, NOT OK ja N/A. Vastaukset kysymyksiin saatiin haastattelemalla
yrityksen keskeistä henkilökuntaa. Vastausten perusteella laskettiin kokonaismäärät vaatimuskategorioittain ja lukumäärien perusteella prosenttiarvo, joka kuvaa yrityksen valmiutta kyseisessä kategoriassa.
Puuteanalyysin tulokset olivat suuntaa antavia, mutta silti arvokasta tietoa yrityksen nykytilasta ja voivat
helpottaa standardin mukaisiin toimintatapoihin siirtymisessä.
Työn tavoitteisiin päästiin, sillä puuteanalyysillä voitiin kartoittaa yrityksen tietoturvallisuuden hallinnan
nykytilaa ja siten saatiin tietoa, johon yritys voi pohjata tulevaisuuden ISO/IEC 27001 käyttöönottoprojektia.
Työssä luotua puuteanalyysiä olisi mahdollista parantaa luomalla painoarvon jokaiselle analyysin kysymykselle. Täten saataisiin luotettavampaa ja tarkempaa tietoa mihin voitaisiin keskittää käyttöönottoprojektin
resursseja.
Se on yksi kansainvälisesti käytetyimmistä tietoturvallisuuden hallinnan standardeista. Tällaiseen standardiin sertifioituminen voi vaikuttaa positiivisesti yrityksen imagoon, varsinkin viimeaikaisten tietoturvaskandaalien jälkeen.
Opinnäytetyössä tehtiin puuteanalyysi Keski-Suomessa sijaitsevalle yritykselle. Tavoitteena oli saada tietopohja yrityksen nykytilasta ja täten helpottaa yrityksen tulevaisuuden standardoitumisprosessin aloittamista.
Puuteanalyysiä varten selvitettiin ISO/IEC 27001 standardin vaatimukset ja luotiin niistä luettelo kysymyksiä, joihin vastausvaihtoehdot olivat OK, NOT OK ja N/A. Vastaukset kysymyksiin saatiin haastattelemalla
yrityksen keskeistä henkilökuntaa. Vastausten perusteella laskettiin kokonaismäärät vaatimuskategorioittain ja lukumäärien perusteella prosenttiarvo, joka kuvaa yrityksen valmiutta kyseisessä kategoriassa.
Puuteanalyysin tulokset olivat suuntaa antavia, mutta silti arvokasta tietoa yrityksen nykytilasta ja voivat
helpottaa standardin mukaisiin toimintatapoihin siirtymisessä.
Työn tavoitteisiin päästiin, sillä puuteanalyysillä voitiin kartoittaa yrityksen tietoturvallisuuden hallinnan
nykytilaa ja siten saatiin tietoa, johon yritys voi pohjata tulevaisuuden ISO/IEC 27001 käyttöönottoprojektia.
Työssä luotua puuteanalyysiä olisi mahdollista parantaa luomalla painoarvon jokaiselle analyysin kysymykselle. Täten saataisiin luotettavampaa ja tarkempaa tietoa mihin voitaisiin keskittää käyttöönottoprojektin
resursseja.