Tämän opinnäytetyön tarkoitus on ollut selvittää kohdeyrityksen tämän hetken tietoturvallisuustaso sekä puutteet, toimenpiteet halutun tietoturvallisuustason saamiseksi sekä miten toimenpiteet toteutetaan. Tarve opinnäytetyölle ilmaantui, kun tilitoimisto X (nimi muutettu) tunnisti tietoturvallisuuden kehittämistarpeensa. Kehityshankkeen tarkoituksena oli kehittää yrityksen yleistä toiminnan laatua, parantaa kilpailukykyä ja vastata asiakkaiden muuttuviin ja kehittyviin tietoturvallisuustarpeisiin. Hankkeessa tunnistettiin organisaation tietoturvallisuustavoitteet ja määriteltiin organisaation tietoturvapolitiikka. Siihen liittyy tietoturvallisuusprosessien luominen sekä niiden käyttö tietoturvallisuusriskien hallintaan.

Opinnäytetyön tutkimusmenetelminä käytettiin laadullisia menetelmiä kolmen eri tutkimusmenetelmän avulla: teemahaastattelulla, aivoriihellä sekä havainnoinnilla. Tutkimukset toteutettiin vuonna 2016.

Työn teoreettinen pohja saatiin selvittämällä ensin aiheeseen liittyvät termit ja käsitteet, tämän jälkeen selvitettiin tietoturvan osa-alueet. Lisäksi teoreettisessa pohjassa tutustuttiin lainsäädäntöön sekä taloushallintoliiton ohjeeseen hyvästä tilitoimistotavasta. Viitekehyksenä on käytetty VAHTI-ohjeistusta.

Tietoturvajärjestelyjen tarkoitus on varmistaa tietoaineistojen, tietojärjestelmien ja palveluiden asianmukainen suojaus ottaen huomioon niiden luottamuksellisuus, eheys ja saatavuus ja niihin liittyvät riskit.

Työssä tunnistettiin yrityksen tietoturvariskit ja analysoitiin ja arvioitiin riskien vaikutukset. Näiden perusteella yritykselle luotiin ja otettiin käyttöön tietoturvallisuuspolitiikka ja -ohje, joiden avulla saavutetaan roolit ja vastuut tietoturvariskien hallinnaksi.