Vaasan yliopiston opinnäytteet

Informaatioteknologian tiedekunta, 2002

Säilä, Kaisu

Tietoturvallisuuden henkilöriskien hallinta

Ohjaaja/Valvoja (DI):
Professori Merja Wanne
Tutkinto:
Kauppatieteiden maisteri
Laitos:
Tietotekniikan laitos
Pääaine:
Tietotekniikka (KTM)
Sivumäärä:
69
Tässä tutkielmassa pohditaan henkilötietoturvan osuutta organisaation tietoturvasta, johdon sitoutumista tietoturvaan sekä henkilötietoturvan hallinnan organisointia. Koska tietotekniikka kuuluu lähes jokaisen organisaation toimintaan ja yhä useampi organisaatio on riippuvainen tietotekniikasta, pohditaan sitä miten organisaation jatkuvuus voidaan turvata henkilötietoturvallisuuden menetelmin.

Tietoturvan on todettu olevan 80 prosenttisesti psykologiaa ja vain 20 prosenttia tekniikkaa. Ihminen tietotekniikan käyttäjänä ja tietoturvallisuuden varmistajana on myös todettu tietoturvan merkittävimmäksi, mutta samalla epävarmimmaksi tekijäksi.

Aiheeseen liittyvää aineistoa löytyy runsaasti. Juuri julkaistujen teosten määrästä päätellen aihe on myös hyvin ajankohtainen. Tässä tutkielmassa tehdään katsaus kirjallisuuteen ja muihin tietoturvaa käsitteleviin julkaisuihin ja pyritään kokoamaan yhteen henkilötietoturvaan liittyvät seikat.

Henkilötietoturva on kaikkea muuta kuin tekniikkaa. Siksi henkilötietoturvan toteutukset painottuvat suurelta osin ennalta ehkäisevään toimintaan. Johdon on sitouduttava antamiinsa ohjeisiin ja riskienhallinnan menetelmin kartoitettava tietoturvallisuuden henkilöriskit ja analysoitava niiden vaikuttavuus oikeiden tietoturvallisuuskontrollien valitsemiseksi. Vastuunsa mukaisesti johdon on myös huolehdittava tietoturvatoteutusten organisoinnista sekä riittävän valvonnan järjestämisestä sekä siitä, että jokainen työntekijä hallitsee tarpeelliset tietoturvatoimet ja on myös sitoutunut niiden noudattamiseen.

Henkilötietoturvallisuudella pyritään organisaation toiminnan jatkuvuuden turvaamiseen henkilöstön toiminnalla: osaamisella, oikeilla asenteilla. Tärkeimmät toimenpiteet hyvän lopputuloksen aikaansaamiseksi ovat tietoturva-asiakirjojen laatiminen ja niiden tiedoksi saattaminen, johdon sitoutuminen, otollinen työskentelyilmapiiri, koulutus ja tiedottaminen, toimenkuvat, rajatut käyttöoikeudet ja varahenkilöjärjestelyt, rekrytoinnin ja irtisanoutumisen toimenpiteet, valvonta ja rikkeiden seuraamusmenettelyt.
Avainsanat:
Henkilötietoturva, tietoturva, tietohallinto, johtaminen
© Tritonia 2014-2019