Työn tavoitteena on syventää ymmärrystä tietoturvan hallintajärjestelmän toteutusprojekteista sekä lisätä ymmärrystä tietoturvan hallintajärjestelmästä kohdeyrityksessä. Työssä tehtävän tutkimuksen tarkoituksena on tunnistaa integroivan kirjallisuuskatsauksen avulla tekijöitä, jotka edesauttavat toteutusprojektien onnistumista sekä ymmärtää syitä, joiden takia hallintajärjestelmän toteutusprojekti onnistui kohdeyrityksessä. Lisäksi työssä tehtävän kirjallisuuskatsauksen löydösten ja toteutusprojektista tunnistettujen onnistumistekijöiden perusteella luodaan malli, jota muut tietoturvan hallintajärjestelmän toteutusta harkitsevat organisaatiot voivat hyödyntää.
Työ aloitetaan esittelemällä tietoturvan ja tietoturvan hallintajärjestelmän teoriaa, kuten ISO/IEC 27000 -standardiperhettä sekä riskienhallintaan liittyviä menetelmiä. Työtä jatketaan tekemällä integroiva kirjallisuuskatsaus, jossa tutkitaan tietoturvaan ja IT:n hallintaan liittyvien projektien onnistumistekijöitä. Työn empiirisessä osuudessa toteutetaan tietoturvan hallintajärjestelmä kohdeyritykselle tapaustutkimuksena, minkä jälkeen esitellään malli, joka sisältää kirjallisuuskatsauksen ja tapaustutkimuksen perusteella tunnistettuja onnistumistekijöitä.
Kirjallisuuskatsauksen tuloksissa korostuivat johdon rooli sekä tietoturvakoulutusten merkitys. Erityisesti johdon tuki, taloudellinen tuki sekä tietoturvan tärkeyden ymmärtäminen että sen strateginen yhdenmukaisuus liiketoiminnan välillä vaikuttavat toteutusprojektien onnistumiseen. Kohdeyrityksessä tehty toteutusprojekti onnistui ja tärkeimmiksi onnistumistekijöiksi todettiin johdon tuki, tietoturvamyönteinen organisaatiokulttuuri ja aiemmat panostukset tietoturvaan. Lisäksi henkilöstö on kiinnostunut tietoturva-asioista ja henkilöstöä osallistettiin projektiin. Työssä kehitetyn mallin tärkeimmiksi onnistumistekijöiksi todettiin johdon rooli, valmistelutyö, projektinhallinta sekä motiivit hallintajärjestelmän toteuttamiselle.The aim of the work is to deepen the understanding of the implementation projects of the information security management system and to increase the understanding of the information security management system in the target company. The purpose of the research carried out in the work is to identify factors that contribute to the success of implementation projects and to understand the reasons why the implementation project of the management system was successful in the target company with the help of an integrated literature review. In addition, based on the findings of the literature review and the success factors identified from the implementation project, a model is be created that can be used by other organizations considering the implementation of an information security management system.
The work begins by introducing the theory of information security and the information security management system, such as the ISO/IEC 27000 family of standards and methods related to risk management. The work is continued by conducting an integrative literature review, which examines the success factors of projects related to information security and IT governance. In the empirical part of the work, an information security management system is implemented for the target company as a case study, after which a model is presented that includes the success factors identified based on the literature review and the case study.
The results of the literature review highlighted the role of management and the importance of information security training. In particular, management support, financial support as well as understanding the importance of information security and its strategic alignment between businesses affect the success of implementation projects. The implementation project at the target company was successful and the most important success factors were found to be management support, an information security-friendly organizational culture and previous investments in information security. In addition, the personnel is interested in information security issues and the personnel was involved in the project. The most important success factors of the model developed in the work were found to be the role of management, preparatory work, project management and motives for implementing the management system
