Tämän insinöörityön tavoitteena on muodostaa ehdotus case-yrityksen tietoturvariskien hallinnan kehittämiseksi osana ISO/IEC 27001:2022 -sertifioitumista.
Insinöörityön tietoperustana käytetään konsulttiyrityksen yritykselle tekemää GAP-analyysiä, ISO/IEC 27000 -standardiperheen standardeja, case-yrityksen nykyistä toimintaa ja dokumentaatiota sekä projektiryhmän työpajoja. Ennen insinöörityön alkua työpajoina toteutettu GAP-analyysi tukee insinöörityön aihealueen määrittämistä, ISO/IEC 27000 -standardit tuovat toimintamallit ja suositukset toteutukselle. Projektiryhmän etäyhteyksin suoritetut tapaamiset tuovat osallistujien eri osa-alueiden vahvuudet dokumentaatioon.
Tietoperusta osoittaa, että tietoturvan dokumentaatio ei ole ISO/IEC 27001 -standardin vaatimusten tasolla. Tietoturvariskejä käsitellään yrityksen johtoryhmässä, mutta näitä ei ole arvioitu ja tuotu alemmalle, käytännön tasolle.
Tuotoksena tästä insinöörityöstä on kaksiosainen kehitysehdotus, joka sisältää tekstitiedostona olevan tietoturvariskien hallinnan kuvauksen ja Excel-tiedoston, joka pitää sisällään noin 60 tunnistetulla riskillä arvioidun riskikartan case-yritykselle.
Insinöörityön tarkoitus on kehittää case-yrityksen toimintaa vastaamaan muuttuvaa lainsäädäntöä ja asiakasvaatimuksia. Riskienhallinnan dokumentaatio ja toimintatavat on merkittävä osa NIS2 EU -direktiiviä ja ISO/IEC 27001 -sertifioitumista. Standardoidut toimintatavat osoittavat yrityksen sitoutumisen tietoturvariskien hallintaan vahvistaen turvallisuutta, laatua, luotettavuutta ja asiakastyytyväisyyttä
