ISO/IEC 27001 -standardin sertifiointiin valmistautuminen IT-alan yrityksessä

Tämä opinnäytetyö tehtiin suomalaiselle IT-alan yritykselle, jonka tarkoituksena on sertifioida ISO/IEC 27001 -standardi. Opinnäytetyön tavoitteena oli laatia dokumentti, jossa verrataan ISO/IEC 27001 -standardin vaatimuksia organisaation nykytilanteeseen ja kartoitetaan tietoturvariskejä. Tutkimuksessa kuvattiin ensin sertifiointi ja sertifiointiprosessi, seuraavana ISO/IEC 27001 -standardi sekä riskejä, riskien hallintaprosessi ja hallintamenetelmät. Nykytilanteen selvittämiseksi tutkimusmenetelmänä käytettiin puolistrukturoitua haastattelua ja haastateltavina olivat yrityksen tietoturvasta vastaavat henkilöt. Tietoturvariskejä kartoitettiin pääosin lähdekirjallisuuden avulla. Tuloksena saatiin kattava Excel-taulukko organisaation nykytilasta, puutteista ja suositeltavista toimenpiteistä, jolla organisaatio täyttää ISO/IEC 27001 -standardin vaatimukset. Excel-taulukon avulla organisaatio saa käsityksen puutteista ja siitä, mitä on vielä tehtävä sertifikaatin saamiseksi. Lisäksi työn tuloksena saavutettiin riskiarviointitaulukko, jossa on kuvattuna organisaation tietoturvariskit. Riskiarviointitaulukko havainnollistaa, mihin tekijöihin on kiinnitettävä huomiota tietoturvan parantamiseksi. Laadittu Excel-taulukko on hyvä työkalu ISO/IEC 27001 -standardin mukaiseen tietoturvallisuuden hallintajärjestelmän kehittämiseen, ja auttaa yritystä sertifikaatin hankinnassa. Riskiarviointitaulukko on hyvä apuväline tietoturvan parantamiseen ja kehittämiseen.This bachelor’s thesis was made to finish IT company, whose purpose is to certify ISO/IEC 27001 standard. The aim of this bachelor’s thesis was to make documentary in which ISO/IEC 27001 standard’s requirements compared from the present organization’s situation and survey information security risks. In this research the first descriptions were to certification and certification process, next was ISO/IEC 27001 standard and risks, risks management process and management methods. To clear the present situation semi-structured interview was used as a method of investigation and the ones who were interviewed was the leading personals of information security. Information security risks were surveyed with help of the sources of reference mainly. Comprehensive Excel-chart was got as a result from the present state of organization’s situation, deprivations, and measures of recommended in which organization will fill ISO/IEC 27001 standard’s requirements. With help of Excel-chart’s organization gets notion of deprivations and what needs to be done before certification. In addition, a risk assessment chart was got as a result in which the organization’s information security risks were described. The risk assessment chart demonstrates to what factors have to get notion to make the information security better. Live Excel-chart is a good tool to develop ISO/IEC 27001 standard’s ISMS and helps organization to get a certification. A risk assessment chart is a good aid to improve and develop the information security