Tietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössä

dc.contributorAalto-yliopistofi
dc.contributorAalto Universityen
dc.contributor.advisorAalto, Otto; M.A.
dc.contributor.authorNilsson, Antti
dc.contributor.departmentDepartment of Communications and Networkingen
dc.contributor.departmentTietoliikenne- ja tietoverkkotekniikan laitosfi
dc.contributor.schoolFaculty of Electronics, Communications and Automationen
dc.contributor.schoolElektroniikan, tietoliikenteen ja automaation tiedekuntafi
dc.contributor.supervisorManner, Jukka; Prof.
dc.date.accessioned2011-12-08T09:39:04Z
dc.date.available2011-12-08T09:39:04Z
dc.date.issued2008
dc.description.abstractTässä tutkimuksessa keskityttiin tietoturvallisuuden aihepiiriin. Tutkimuksen teoreettisena tavoitteena oli selvittää, minkälaisista tekijöistä organisaation tietoturvallisuus muodostuu ja miten sitä voidaan hallita. Käytännön tavoitteena oli kartoittaa kohdeorganisaation tietoturvallisuuden nykytaso ja luoda kartoituksen perusteella suunnitelma organisaation tietoturvallisuuden kehittämiseksi. Tutkimuksen teoriaosassa avattiin tietoturvallisuuden käsitteistöä ja pohdittiin tietoturvallisuuden merkitystä organisaatioille. Katsauksessa eriteltiin organisaation toimijoiden tehtäviä ja vastuita ja tutustuttiin ISO 17799 -standardiin, joka määrittelee yleisiä toimintaperiaatteita organisaation tietoturvallisuuden hallintaan. Tietoturvallisuuden hallintaa tarkasteltiin prosessina, jossa organisaation tietoturvastrategia ja riskienhallinta ohjaavat toiminnan kehittämistä. Lopuksi tutkittiin erilaisia tietoturvallisuuden kontrolleja tietoverkkojen, tietoaineiston ja saavutettavuuden suojaamiseksi. Tutkimuksen käytännön osassa tehtiin kohdeorganisaatiolle tietoturvakartoitus, jonka pohjana käytettiin ISO 17799 -standardia. Kartoituksessa havaittiin runsaasti tietoturvallisuuden kannalta hyvin toteutettuja asioita: muun muassa tekniset suojaukset, jokapäiväinen toiminta ja erikoistilanteiden hallinta on hoidettu hyvin ja etenkin tiedon saavutettavuuteen on panostettu. Organisaation tietoturvallisuuteen liittyvät suurimmat ongelmakohdat kohdistuvat pääasiassa hallinnolliselle puolelle. Selkeitä puutteita havaittiin erityisesti tietoturvatyön organisoimisessa ja vastuunjaossa, strategisessa suunnittelussa ja dokumentoinnissa sekä tietoturvahäiriöiden ja parannuskohteiden hallinnan organisoimisessa. Kartoituksen tulosten pohjalta kohdeorganisaatiolle tehtiin kehityssuunnitelma, jonka avulla organisaatio voi lähteä kehittämään omaa tietoturvallisuuttaan ja korjata suurimmat havaitut puutteet. Kehitystyön myötä organisaatio pystyy tulevaisuudessa ylläpitämään riittävää tietoturvallisuuden tasoa ja siten vastaamaan liiketoiminnan edellyttämiin vaatimuksiin.fi
dc.description.abstractThis study concentrates on information security. In the theoretical part of the study the goal was to find out in an organizational context what kinds of elements does information security consist of and how it can be managed. The goal of the hands-on part of the study was to conduct an information security assessment as a case study for a specific organization, and based on the evaluation to create a plan how to improve the state of the organization's information security. The theoretical part of this study introduced the basic terms and concepts of information security and discussed the significance and need for information security in an organization. The study reviewed the tasks and responsibilities for different roles in an organization and presented the ISO 17799 standard, which defines common principles for managing information security in organizations. Information security management was studied as a process, in which the improvement actions are driven by the organization's strategy for information security and risk management. Finally, information security control mechanisms for securing computer networks and information assets where discussed, and mechanisms for assuring the availability of information were studied. The case study involved in conducting an evaluation of information security for the target organization. The evaluation was based on the ISO 17799 standard. The results of the evaluation showed that a good part of the organization's information security is well implemented. For example, technical controls for information security, daily operations, and incident management are in good shape, and effort has been made on assuring the availability of information. On the other hand, the evaluation revealed that the largest problems in information security were focused in the administrative actions of the organization. Clear deficiencies were found especially in organization of and responsibilities in the actions on information security, strategic planning and documentation, and in the management of information security incidents and improvements. Based on the results of the evaluation an improvement plan was created for the case organization. Using the plan, the organization may start the process of improving information security and correct the most important problems found in the evaluation. With the actions of improvement the organization is able to maintain an adequate level of information security and to insure that business requirements are met.en
dc.format.extentv, 105, [13]
dc.format.mimetypeapplication/pdf
dc.identifier.urihttps://aaltodoc.aalto.fi/handle/123456789/1043
dc.identifier.urnurn:nbn:fi:tkk-010316
dc.language.isofien
dc.locationP1fi
dc.programmeTietoliikennetekniikan koulutus-/tutkinto-ohjelmafi
dc.programme.majorNetworking Technologyen
dc.programme.majorTietoverkkotekniikkafi
dc.programme.mcodeS-38
dc.publisherHelsinki University of Technologyen
dc.publisherTeknillinen korkeakoulufi
dc.rights.accesslevelopenAccess
dc.subject.keywordinformation securityen
dc.subject.keywordISO 17799en
dc.subject.keywordevaluation of information securityen
dc.subject.keywordimproving information securityen
dc.subject.keywordinformation security managementen
dc.subject.keywordrisk managementen
dc.subject.keywordtietoturvallisuusfi
dc.subject.keywordISO 17799fi
dc.subject.keywordtietoturvakartoitusfi
dc.subject.keywordtietoturvallisuuden kehittäminenfi
dc.subject.keywordtietoturvallisuuden hallintafi
dc.subject.keywordriskienhallintafi
dc.subject.otherComputer scienceen
dc.subject.otherEconomicsen
dc.titleTietoturvakartoitus yrityksen Internet-palveluja tuottavassa yksikössäfi
dc.titleEvaluation of Information Security in a Corporate Division Producing Internet Servicesen
dc.typeG2 Pro gradu, diplomityöfi
dc.type.dcmitypetexten
dc.type.okmG2 Pro gradu, diplomityö
dc.type.ontasotDiplomityöfi
dc.type.ontasotMaster's thesisen
dc.type.publicationmasterThesis
local.aalto.digifolderAalto_38319
local.aalto.idinssi35375
local.aalto.openaccessyes

Files

Original bundle

Now showing 1 - 1 of 1
No Thumbnail Available
Name:
urn010316.pdf
Size:
778 KB
Format:
Adobe Portable Document Format