Opinnäytetyön tutkimuksen tarkoituksena oli selvittää, kuinka saadaan tunnistettua terveydenhuollon organisaation tietojärjestelmissä olevat tekniset haavoittuvuudet sekä miten havaittuihin haavoittuvuuksiin reagoidaan ja kuinka ne hoidetaan asianmukaisesti. Opinnäytetyön toimeksiantaja oli Etelä-Pohjanmaan hyvinvointialue.

Opinnäytetyöni teoreettinen viitekehys koostuu suurimmalta osin ISO 27001 Tietoturvallisuuden hallintajärjestelmät ja ISO 27002 Tietoturvallisuuden hallintakeinot - standardien ohjeistuksista ja määrityksistä. Opinnäytetyö toteutettiin toiminnallisena. Tutkimusaineisto kerättiin työpaikalla toteutetuilla ryhmäkeskustelutyyppisillä usealla työpajalla, joissa hyödynnettiin työmenetelminä mm. ryhmäkeskustelua ja visualisointia. Aineiston muodostamisessa ja analysoinnissa hyödynnettiin dokumenttianalyysiä.

Johtopäätöksenä voidaankin todeta, että tutkimuskysymyksiin vastaaminen onnistui kaiken kaikkiaan hyvin. Työpajojen tuotoksena saimme luotua organisaatiolle soveltuvan (liite 2) teknisten haavoittuvuuksien hallintaprosessin. Tuotos mukailee osittain organisaatiossa jo käytössä olevia prosesseja ja toimintamalleja. Organisaatiosta saaduissa palautteissa todettiin työpajojen olleen hyvä tapa prosessin suunnittelussa. Työpajojen toteuttamista pidettiin tärkeänä, joissa oli alustus ja johdatus teorialla aiheeseen, joka auttoi osallistujia saamaan tietoa työpajoissa tapahtuvaan prosessin suunnittelun ja toteutuksen tueksi. Organisaatio piti aihetta tärkeänä ja oli tyytyväinen kehittämistyön tuloksiin.