Tietoturvakartoitus ISO/IEC 27001-standardin mukaan

Saari, Hannele

research

Tietoturvakartoitus ISO/IEC 27001-standardin mukaan

Authors: Hannele Saari
Publication date: 1 January 1995
Publisher: Lapin ammattikorkeakoulu

Abstract

Opinnäytetyössä perehdytään ISO/IEC 27001-standardin tietoturvavaatimuksiin. Haetaan vastausta kysymykseen, mikä on esimerkkiyrityksen henkilöstön tietoturva-osaamisen taso tällä hetkellä. Tarkoituksena on tutkia, tarvitaanko lisäkoulutusta ja pohtia osaamisen ylläpitoon erilaisia vaihtoehtoja. Teoreettisena viitekehyksenä on ISO/IEC 27001-standardi ja siihen liittyen infor-maatioteknologia, turvallisuus, tietoturvallisuuden hallintajärjestelmät ja vaatimukset. Tutkimuksessa on käyty läpi tietoturvan hallintajärjestelmään liittyviä asioita, termejä ja määritelmiä. Opinnäytetyössä kartoitetaan esimerkkiyrityksen henkilöstön tietoturvaosaamista kyselyn avulla. Kyselyn analysoinnin jälkeen käydään läpi riskienhallintaa, käytän-nön ohjeita ja tietoturvaan liittyvää lainsäädäntöä. Kyselyn tuloksena selvisi, että tietoturva-asioissa ei ole ollut ongelmia, mutta koska osalla esimerkkiyrityksen työntekijöistä oli jonkin verran epätietoisuutta tietoturva-politiikan sisällöstä, kannattaa ottaa tavaksi kerrata tietoturva-asioita aina säännöllisin väliajoin.This thesis studies the requirements of the ISO/IEC 27001 standard. The objective of this study is to examine the personnel’s current level knowledge in terms of informa-tion security. The objective is to find out if further training is needed and to consider the options for maintaining know-how. The theoretical framework is the ISO/IEC 27001 standard and information technolo-gy, security, information security management system and requirements. This study reviews issues, terms and expression of the information security management. The thesis examines employees’ current knowledge level of information security issues in the case organization through a questionnaire survey. After analyzing the questionnaires, the thesis discusses risk management, presents practical instructions, and deals with the current legislation concerning information security. The results of the questionnaire survey indicate that there have been no problems with information security so far. There have been some uncertainties about the con-tent of the information security policy, and therefore it would be recommendable to take a habit to raise information security policy for general discussion in the case organization once in a while