Information Security Plan for SAP HCM
Anturaniemi, Kirsi (2013)
Anturaniemi, Kirsi
HAAGA-HELIA ammattikorkeakoulu
2013
All rights reserved
Julkaisun pysyvä osoite on
https://urn.fi/URN:NBN:fi:amk-2013120419878
https://urn.fi/URN:NBN:fi:amk-2013120419878
Tiivistelmä
Tietoturvan tärkeys ja merkitys yrityksissä kasvaa koko ajan sähköisten prosessien, palvelukanavien ja työkalujen lisääntyessä. Tämä trendi on huomattavissa myös yritysten tukiprosesseissa, kuten henkilöstöhallinnossa. Yhä suurempi osa yrityksen henkilöstöhallintoon liittyvistä prosesseista hallitaan ja hoidetaan sähköisten prosessien avulla. Tämän seurauksena sekä käsiteltävät työntekijät että viranomaiset osoittavat kasvavaa kiinnostusta yrityksen tietoturvaan, erityisesti niiden sovellusten ja prosessien osalta joissa käsitellään luottamuksellisia henkilötietoja.
Tämän opinnäytetyön tavoitteena on selvittää kirjallisuuskatsauksen kautta tietojärjestelmän tietoturvasuunnitelman yleinen rakenne ja sisältö, sekä mitä erityispiirteitä sisältyy henkilötietoa käsittelevien järjestelmien tietoturvaan. Lisäksi tavoitteena on suorittaa tietoturvakatselmointi ja sen perusteella luoda tietoturvasuunnitelma kohdeyrityksen henkilötietojen hallintaan tarkoitetulle SAP HCM –järjestelmälle.
Opinnäytetyö toteutettiin produktina. Työn teoreettinen osuus on valmisteltu talvella 2012 – 2013 tutustumalla kirjallisuuteen. Empiirinen osa on toteutettu vuoden 2013 aikana. Empiirinen tiedonkeruu on tehty henkilöhaastatteluin, keräämällä ja analysoimalla dokumentaatiota sekä toteuttamalla työpajasessioita. Empiirisen osan pitkään ajalliseen kestoon ja työn lopputulokseen vaikutti kohdeyrityksessä tehty merkittävä organisaatiomuutos, joka astui voimaan kesän 2013 alussa.
Teoreettisen pohjan perusteella muodostettiin tietoturvasuunnitelman runko, jonka mukaan toteutettiin tietoturva-analyysi ja tietoturvasuunnitelma kohdeyrityksen SAP HCM -järjestelmälle. Analyysin mukaan kohdeyrityksen tietoturvan taso kohdejärjestelmän osalta oli riittävässä kunnossa, ja yrityksellä oli olemassa suhteellisen kattavat tietoturvariskien hallintamekanismit. Parannusehdotuksiakin kuitenkin löytyi, mm. tietoturvan hallintamalliin sekä käyttövaltuushallintaan liittyen.
Tämän opinnäytetyön tavoitteena on selvittää kirjallisuuskatsauksen kautta tietojärjestelmän tietoturvasuunnitelman yleinen rakenne ja sisältö, sekä mitä erityispiirteitä sisältyy henkilötietoa käsittelevien järjestelmien tietoturvaan. Lisäksi tavoitteena on suorittaa tietoturvakatselmointi ja sen perusteella luoda tietoturvasuunnitelma kohdeyrityksen henkilötietojen hallintaan tarkoitetulle SAP HCM –järjestelmälle.
Opinnäytetyö toteutettiin produktina. Työn teoreettinen osuus on valmisteltu talvella 2012 – 2013 tutustumalla kirjallisuuteen. Empiirinen osa on toteutettu vuoden 2013 aikana. Empiirinen tiedonkeruu on tehty henkilöhaastatteluin, keräämällä ja analysoimalla dokumentaatiota sekä toteuttamalla työpajasessioita. Empiirisen osan pitkään ajalliseen kestoon ja työn lopputulokseen vaikutti kohdeyrityksessä tehty merkittävä organisaatiomuutos, joka astui voimaan kesän 2013 alussa.
Teoreettisen pohjan perusteella muodostettiin tietoturvasuunnitelman runko, jonka mukaan toteutettiin tietoturva-analyysi ja tietoturvasuunnitelma kohdeyrityksen SAP HCM -järjestelmälle. Analyysin mukaan kohdeyrityksen tietoturvan taso kohdejärjestelmän osalta oli riittävässä kunnossa, ja yrityksellä oli olemassa suhteellisen kattavat tietoturvariskien hallintamekanismit. Parannusehdotuksiakin kuitenkin löytyi, mm. tietoturvan hallintamalliin sekä käyttövaltuushallintaan liittyen.