| Summary: | Tutkimuksessa tarkastellaan pienten ja keskisuurten kuntien tietoturvallisuuden
hallintaprosessia sekä tiedonhallintalain vaatimuksia. Tutkimuksen tavoitteena
oli selvittää pienten ja keskisuurten kuntien tietoturvallisuuden hallinnan taso ja
siihen vaikuttavat tekijät. Tämän pohjalta tutkimuksessa rakennettiin ISO27001:n
pohjautuva malli tietoturvallisuuden hallintaprosessista kunnille. Esiteltävä
malli on yhdenmukaistava ja kokoava, joka toimii pohjana organisaatiokohtaisen
mallin kehittämiselle.
Tutkimus toteutettiin kirjallisuuskatsauksena ja teemahaastatteluna. Tutkimuksen viitekehyksenä toimi ISO27001- standardi. Kirjallisuuskatsauksessa pureuduttiin tietoturvallisuuden hallintaprosessiin ja sen vaiheisiin. Kirjallisuuskatsauksen aineistoa kerättiin tutkimukseen kansallisesta lainsäädännöstä ja ohjeista sekä kansainvälisistä ohjeista ja standardeista. Teemahaastattelut toteutettiin kolmen eri kunnan tietoturvaan perehtyneen henkilön haastatteluna. Haastatteluilla pyrittiin saamaan kattava kuvaus tietoturvallisuuden hallinnasta ja tiedonhallintalain toteutumisesta pienissä ja keskisuurissa kunnissa.
Tutkimuksen perusteella tietoturvallisuuden hallinta ja siihen vaikuttavat
tekijät vaihtelivat kunnittain. Tietoturvallisuuden hallintaa ei kaikilta osin ollut
toteutettu kunnissa kokonaisuutena vaan yksittäisinä toimenpiteinä. Tutkimuksen perusteella kuntien tietoturvallisuuden hallintaan vaikuttivat osaltaan käytettävissä olevat resurssit sekä ohjauksen hajanaisuus. Tiedonhallintalain vaatimuksien osalta tutkimukseen osallistuneet kunnat olivat tehneet toimenpiteitä,
mutta kokonaisuudessaan vaatimuksiin ei ollut päästy. Tiedonhallintalain vaatimuksien täyttämiseksi tutkimukseen osallistuneet henkilöt toivoivat ohjausta ja
yhdenmukaisia toimintamalleja vaatimusten toteuttamiseksi.
This study examines the information security management process of small and
medium-sized municipalities and the requirements of the Finnish data management act. The aim of the study was to find out the level of information security
management in small and medium-sized municipalities and the factors that affecting it. Based on this, the research built a model of the information security
management process for municipalities based on ISO27001. The presented model
is harmonizing and collecting, which serves as a basis for the development of an
organization-specific model.
The research was carried out as a literature review and thematic interview.
The ISO27001 served as the research framework. The literature review discussed
the information security management process and its stages. The material of the
literature review was collected from national legislation and guidelines as well
as international guidelines and standards. Thematic interviews were carried out
as an interview with three people familiar with information security in different
municipalities. The interview aimed to get a comprehensive description of information security management and the implementation of the Finnish data management act in small and medium-sized municipalities.
Based on the research, information security management and the factors affecting it varied by municipality. Information security management had not been
implemented in all aspects in the municipalities as a whole, but as individual
measures. Based on research, the municipalities’ information security management was partly influenced by the available resources and the fragmentation of
control. Regarding the requirements of the Finnish data management act, the municipalities that participated in the study had taken measures, but the requirements has not been fully met. In order to meet the requirements of the data management act, the people who participated in the study wanted guidance and uniform operating models to implement the requirements.
|
|---|