ISO 27001 standardization of the existing ISMS in a software industry SME
Huhtinen, Varpu (2021)
Diplomityö
Huhtinen, Varpu
2021
School of Engineering Science, Tietotekniikka
Kaikki oikeudet pidätetään.
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi-fe2021082744549
https://urn.fi/URN:NBN:fi-fe2021082744549
Tiivistelmä
With the increasing number of threats to information security and the rising concern of business partners towards the security of their information, it is crucial for organizations to implement systems to manage appropriately information. In this thesis, a literature review is conducted to identify the importance of an effective Information Security Management System (ISMS), challenges that can occur when proceeding to standardize one and to define a methodology to ISO 27001 standardize the existing ISMS of an organization. The methodology is then applied to the existing ISMS of a software engineering SME seeking to standardize their ISMS with respect to the internationally recognized ISO 27001 standard. Among the identified challenges from literature there are the reluctance to change from employees, lack of consistency in documentation, lack of top management involvement and difficulties in identifying information assets. The steps to standardize the ISMS follow a Plan-Do-Check-Act (PDCA) process where ISO 27001 requirements are grouped, a gap analysis is conducted, all required documentation updated or created and risk management conducted in the planning phase, risk treatment implemented in Do-phase, auditing and reviewing the ISMS in the Check-phase and finally improving the ISMS in the Act-phase. The steps are implemented for the case company in this thesis only until the Do-phase. Liikekumppanien huoli omien tietojen turvallisuudesta ja tietoturvauhkien määrän kasvu ovat kasvattaneet yrityksien tarvetta toteuttaa järjestelmiä, jotka mahdollistavat tietoturvallisen tiedon hallinnan. Tässä diplomityössä, kirjallisuus katsaus on tehty, jotta ymmärrettäisiin Tietoturvallisuuden Hallintajärjestelmän tärkeys ja mitä haasteita voi tulla vastaan järjestelmän standardoimisessa. Metodologia olemassa olevan järjestelmän ISO 27001 standardoimiseksi on määritetty kirjallisuuteen perustuen. Kyseinen metodologia otetaan käyttöön esimerkki Ohjelmistoalan pk-yrityksessä, jonka tavoite on ISO 27001 standardointi. Kirjallisuudesta havaittiin, että standardoinnin haasteita ovat muun muassa työntekijöiden haluttomuus muuttaa toimintatapojaan, yhdenmukaisuuden puute dokumentaatiossa, johdon välinpitämättömyys ja vaikeus määritellä tietoa sisältävät suojattavat omaisuudet. Vaiheet standardoimiseen seuraavat PDCA-sykliä kehittämismenetelmänä, jonka suunnittelu vaiheessa ISO 27001 vaatimukset ryhmitellään, puute analyysi nykyisestä järjestelmästä tehdään, vaadittu dokumentaatio päivitetään tai luodaan ja toteutetaan riskien hallinta iteraatio. Riskien hallinta suunnitelma toteutetaan mallin toteutus vaiheessa, auditointi ja hallinnon katselmointi suoritetaan tarkastus vaiheessa ja lopuksi parannuksia tehdään kehittämisen vaiheessa. Esimerkki yrityksessä, vaiheet toteutettiin toteutusvaiheelle asti tämän diplomityön puitteissa.