| Summary: | Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen
tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu
neljästä lähtökohdasta. Kirjallisuudesta ei löydy tietoturvapolitiikkaa, joka olisi
toteutettu tämän mallin mukaisesti. Lisäksi tutkimuksessa selvitetään mallin
soveltuvuutta Pohjois-Pohjanmaan sairaanhoitopiirissä (PPSHP).
Tutkimus toteutettiin laadullisena toimintatutkimuksena, joka koostui viidestä
vaiheesta: määrittäminen, suunnittelu, toteutus, arviointi sekä tarkentaminen ja
oppiminen. Tutkimustietoaineisto kerättiin haastatteluiden avulla (PPSHP:n
tietoturvasta ja tietosuojasta vastaavia henkilöitä), tutkimalla PPSHP:n strategiaa sekä
terveydenhuollon tietoturvaa ja tietosuojaa velvoittavaa lainsäädäntöä. Haastatteluiden
teemat nousivat Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallista.
Tiedonkeruumenetelmien avulla selvitettiin Siposen ja Puhakaisen tietoturvapolitiikan
kehittämismallin mukaiset vaatimukset tietoturvapolitiikalle.
Tutkimuksessa havaittiin, että tämä malli soveltuu hyvin PPSHP:n tietoturvapolitiikan
toteuttamiseen ja käyttöönottoon. Tutkimuksessa syntyi yhteensä kymmenen ylä- ja
alatason tietoturvapolitiikkadokumenttia, toteutettiin PPSHP:lle tietojärjestelmien
luokittelu ja kehitettiin uusia prosesseja muun muassa ICT-varautumisen osalta. Näiden
toimien avulla PPSHP:n tietoturva tasoa nostettiin.
The purpose of this study is to examine how the Siponen and Puhakainen method for
the development of information security policies are executed in practice. The study
consists of four premises which define the information security policies. In existing
literature there are no studies handling on specifically this sort of design of information
security policy put into practice. In addition, this study concentrates on evaluating the
applicability of the information security policy in question to practice at Pohjois-
Pohjanmaan sairaanhoitopiiri (PPSHP).
This study was carried out as a qualitative Action research cycle -study (ACR). ACR
consists of five stages: diagnosing, action planning, action taking, evaluating and
specifying and learning. The research data was collected by interviews (interviewing
people responsible of data privacy and information security at PPSHP), investigating
the strategy and the obligating information security legislation concerning healthcare.
The main themes of the interviews emerged from the information security policy
method for development of design by Siponen and Puhakainen. With the data collecting
methods mentioned, the study was carried out to find specifications for the information
security policy method by Siponen and Puhakainen.
It was found out that the design by Siponen and Puhakainen method for the
development of information security policies is well applicable at the information
security policy management at PPSHP. The study produced altogether ten higher and
lower level information security policy documents, information system classification
and provisions processes of information systems was developed. With these actions the
level of information security of PPSHP was improved.
|
|---|