Tiedon luokittelu osana organisaation kokonaisarkkitehtuurin riskienhallintaprosessia

TIIVISTELMÄ Simi, Jarmo Juhani Tiedon luokittelu osana organisaation kokonaisarkkitehtuurin riskienhallintaprosessia Jyväskylä: Jyväskylän yliopisto, 2017, 85 s. Tietojenkäsittelytiede, pro gradu -tutkielma Ohjaaja: Seppänen, Ville Tutkimuksen tavoitteena oli kehittää menetelmä, jonka avulla voidaan tunnistaa organisaation kokonaisarkkitehtuuri- tai tietojärjestelmäprojektien tietoturvallisuusvaatimukset. Menetelmän tulisi tukea liiketoimintajohdon, tietojärjestelmäarkkitehtien ja -asiantuntijoiden välistä kommunikaatiota. Menetelmän tulisi myös tukea organisaatioiden välisen viestinnän turvallisuusvaatimusten tunnistamista. Menetelmän kehitys perustui kohdejärjestelmissä käsiteltävän tiedon tunnistamiseen ja luokitteluun tietoturvallisuuden osa-alueiden luottamuksellisuuden, saatavuuden ja eheyden perusteella. Tutkimuksessa sovellettiin suunnittelutieteellistä menetelmää. Tutkimuksen artefaktia testattiin ja kehitettiin viidessä erillisessä tutkimustapauksessa. Tutkimustapausten havainnot dokumentoitiin tutkimuskyselyn ja haastatelluiden avulla. Tulosten perusteella kehitetty menetelmä todettiin soveltuvaksi suunniteltuun tehtäväänsä. Menetelmää pidettiin loogisena ja helppokäyttöisenä ja kaikki osallistujat suosittelivat menetelmän jatkotestausta laajemmin tietojärjestelmäprojekteissa. Tutkimuksen näkökulma, tiedon tunnistaminen ja luokittelu osana kokonaisarkkitehtuuri- tai tietojärjestelmäprojektia oli kaikille tutkimukseen osallistuneille uusi. Näkökulman etuna pidettiin sen antamaa kokonaisvaltaista näkemystä kohteena olevista projekteista. Tutkimustapausten yhteydessä kyettiin menetelmän avulla vertailemaan tietoturvallisuuden eri osa-alueiden merkitystä kohdejärjestelmälle ja tuottamaan perusteltuja ratkaisuesityksiä. Tutkimustapauksen päätteeksi tuotettiin tutkijan johdolla esitys kohteena olevan projektin tietoturvallisuuden jatkotoimenpiteistä ja niiden vaihtoehdoista. Esitys perustui menetelmän käytön yhteydessä koottuihin tietoihin sekä riskienarviointiin ja siinä huomioitiin yleiselle tasolla vaadittavat resurssit.ABSTRACT Simi, Jarmo Information Categorization as a Part of Organization´s Enterprise Architecture Risk Management Processes Jyväskylä: University of Jyväskylä, 2017, 85 p. Information Systems, Master’s Thesis Supervisor: Seppänen, Ville The aim of the study was to create a method for organizations' enterprise architecture and information system management. The management method should recognize information security requirements for the organizations and support organizations' risk management. It should also support communication and coordination between business managers and information system professionals. At the same time, the method should endorses information security requirements in communication between organizations. Recognition and categorization of information in the information system creates the foundations of developing the method.. Categorization is based on three sections of the information security; confidentiality, integrity and availability. Design Science Research Methodology was chosen to be the research method. The artifact was tested and further developed in five different cases. The findings of the study are documented with research surveys and interviews. According to the results of the research, the method was found applicable for its purpose. The method was considered to be logical and easy to use by the study partisipants. All participants recommended testing the method further in various information system projects. The method perspective, recognition and categorization of information, was new viewpoint for all of the participants. The method was useful and it offered comprehensive view to the projects. In the study cases it was possible to compare the areas of information security in the information systems by using the method. Moreover, it was possible to produce proposed decisions