Tietoturvallisuuden hallintajärjestelmän käyttöönoton analyysi pk-yritysympäristöstä

Abstract

Tietoturvallisuuden hallintajärjestelmä on organisaation laatuinfrastruktuurin osa, jonka tehtävänä on kehittää ja lisätä organisaation tietoturvallisuutta sekä taata liiketoiminnan jatkuvuus. Tässä työssä esitellään tietoturvallisuuden ja tietosuojan merkityksestä organisaatioissa sekä erityisesti tietoturvallisuuden hallintajärjestelmän tärkeimpiä hallinta-alueita. Työn empiirisessä osassa esimerkkiorganisaatiolle implementoitiin tietoturvallisuuden hallintajärjestelmä. Hallintajärjestelmä toteutettiin teoriaosuudessa esitettyjen hallintajärjestelmien pohjalta. Hallintajärjestelmän toteutuksen tuloksena havaittiin, että projektisuunnittelussa tavoitteiden määrittäminen on tärkeässä roolissa implementointiprosessia, jotta toteutusvaiheessa ei tarvitse ryhtyä uudelleen suunnittelemaan hallintajärjestelmään tarvittavia hallinta-alueita. Lisäksi havaittiin, että hallintajärjestelmää toteuttaessa projektissa on osattava rakentaa tarvittavista hallintaosista looginen kokonaisuus, jotta kyseisen hallintajärjestelmän jalkauttaminen organisaatioon on mahdollisimman yksiselitteistä.

The information security management system is part of an organization’s quality infrastructure, having the task to develop and increase the organization’s information security and to ensure business continuity. This thesis will present the importance of information security and data protection in organizations and the most important management areas of the information security management system. In the empirical part of the work, an information security management system was implemented for the example organization. The management system was implemented based on the management systems presented in the theoretical part. As a result of the implementation of the management system, it was found that the design of objectives in project planning plays an important role in the implementation process so that during the implementation phase there is no need to re-design the management areas needed for the management system. In addition, it was found that when implementing a management system, the project must be able to build a logical entity for the necessary management components to make the management of the management system as unambiguous as possible.