Tietoturvallisuuden hallintajärjestelmät terveydenhuollon organisaatiossa
Jaakkola, Toni (2016)
Diplomityö
Jaakkola, Toni
2016
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe201604199928
https://urn.fi/URN:NBN:fi-fe201604199928
Tiivistelmä
Tietoturvallisuuden hallintajärjestelmä on organisaation laatujärjestelmän osa, joka keskittyy tietoturvallisuuteen liittyvien riskien hallintaan. Tässä työssä esitellään erityisesti terveydenhuoltoalaan liittyviä tietoturvavaatimuksia ja vertaillaan kuutta tietoturvallisuuden hallintajärjestelmämallia. Työssä tutkitaan millaisia eroja tietoturvallisuuden hallintajärjestelmien rakenteessa ja kattavuudessa on ja miten ne kykenevät vastaamaan terveydenhuoltoalan tietoturvaan liittyviin erityistarpeisiin. Lopputuloksena valitaan parhaiten soveltuva tietoturvallisuuden hallintajärjestelmä esimerkkiorganisaatiolle, joka on julkisomisteinen kuntoutusyhtiö.
Arvioitavia hallintajärjestelmämalleja ovat TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-ohjeet sekä ISO/IEC 27001 -standardiperhe. Tietoturvallisuuden hallintajärjestelmämalleja verrataan kahdesta aiemmasta tutkimuksesta sovellettujen vertailumallien pohjalta. Vertailun perusteella todetaan TCSEC, ITSEC ja Common Criteria –standardien olevan muita arvioituja hallintajärjestelmämalleja suppeampia ja soveltuvan parhaiten tekniseen tuotekehitystoimintaan. Laajempia SOGP-, VAHTI- ja ISO/IEC 27001 –malleja verrataan vielä erikseen terveydenhuollon sekä esimerkkiyrityksen erityistarpeisiin nähden ja lopputuloksena päädytään valitsemaan esimerkkiyritykselle parhaiten soveltuvaksi hallintajärjestelmämalliksi ISO/IEC 27001. Information Security Management System is part of the quality management system of an organization, specializing in information security risk management. In this thesis, information security requirements related specifically to health care business are introduced and six Information Security Management System models are compared. In this thesis we study what kind of differences there are in structures and scopes of Information Security Management Systems and how the systems manage to deal with special information security needs of health care business. The final aim is to choose the most suitable Information Security Management System model for an example organization, which is a publicly owned rehabilitation company. The evaluated Information Security Management Systems are TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-instructions and the ISO/IEC 27001 standard family. The Information Security Management System models are compared based on comparison models adapted from two earlier studies. Based on the comparison, it is discovered that TCSEC, ITSEC and Common Criteria standards have more limited scope and are mostly suitable for development of technical products. The more comprehensive SOGP, VAHTI and ISO/IEC 27001 models are compared more specifically with focus on special needs arising from health care business and the example company. As a final result, ISO/IEC 27001 is chosen as the most suitable Information Security Management System for the example company.
Arvioitavia hallintajärjestelmämalleja ovat TCSEC, ITSEC, Common Criteria, SOGP, VAHTI-ohjeet sekä ISO/IEC 27001 -standardiperhe. Tietoturvallisuuden hallintajärjestelmämalleja verrataan kahdesta aiemmasta tutkimuksesta sovellettujen vertailumallien pohjalta. Vertailun perusteella todetaan TCSEC, ITSEC ja Common Criteria –standardien olevan muita arvioituja hallintajärjestelmämalleja suppeampia ja soveltuvan parhaiten tekniseen tuotekehitystoimintaan. Laajempia SOGP-, VAHTI- ja ISO/IEC 27001 –malleja verrataan vielä erikseen terveydenhuollon sekä esimerkkiyrityksen erityistarpeisiin nähden ja lopputuloksena päädytään valitsemaan esimerkkiyritykselle parhaiten soveltuvaksi hallintajärjestelmämalliksi ISO/IEC 27001.