Tämän tutkimuksen tarkoituksena on selvittää, kuinka Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallia toteutetaan ja kehitetään käytännössä. Se koostuu neljästä lähtökohdasta. Kirjallisuudesta ei löydy tietoturvapolitiikkaa, joka olisi toteutettu tämän mallin mukaisesti. Lisäksi tutkimuksessa selvitetään mallin soveltuvuutta Pohjois-Pohjanmaan sairaanhoitopiirissä (PPSHP).

Tutkimus toteutettiin laadullisena toimintatutkimuksena, joka koostui viidestä vaiheesta: määrittäminen, suunnittelu, toteutus, arviointi sekä tarkentaminen ja oppiminen. Tutkimustietoaineisto kerättiin haastatteluiden avulla (PPSHP:n tietoturvasta ja tietosuojasta vastaavia henkilöitä), tutkimalla PPSHP:n strategiaa sekä terveydenhuollon tietoturvaa ja tietosuojaa velvoittavaa lainsäädäntöä. Haastatteluiden teemat nousivat Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallista. Tiedonkeruumenetelmien avulla selvitettiin Siposen ja Puhakaisen tietoturvapolitiikan kehittämismallin mukaiset vaatimukset tietoturvapolitiikalle.

Tutkimuksessa havaittiin, että tämä malli soveltuu hyvin PPSHP:n tietoturvapolitiikan toteuttamiseen ja käyttöönottoon. Tutkimuksessa syntyi yhteensä kymmenen ylä- ja alatason tietoturvapolitiikkadokumenttia, toteutettiin PPSHP:lle tietojärjestelmien luokittelu ja kehitettiin uusia prosesseja muun muassa ICT-varautumisen osalta. Näiden toimien avulla PPSHP:n tietoturva tasoa nostettiin.