Haasteena hallintastandardien    laadinta ja käyttö    Juhani Anttila    Venture Knowledgist Quality Integration    juhani...
Haasteena hallintastandardien    laadinta ja käyttö              Esityksen pääteemoja:                                    ...
Standardoinnin “fertiloiva” vaikutus    ja organisaatioiden reaalitoiminta                                          Standa...
Kansainvälisessä standardisoinnissa    on vahvuuksia ja heikkouksia              •     Laajalla, arvostetulla ja järjestel...
Kansainvälinen tietoturvallisuuden hallinnan    standardisointi on hyvin hajanaista          Kaikki yleinen kansainvälinen...
Standardiaiheista käydään laajaa julkista keskustelua    mm. sosiaalisen median piirissä, esim. LinkedIn                  ...
Tietoturvallisuus on käsitekokonaisuutena    vaikea ja monitulkintainen aihealue             Tietoturvallisuuden tavoittee...
Basic terms and definitions are not considered    consistently or logically in the ISO/IEC 27000 standards.               ...
Tietoturvallisuuden hallinta    ja tietoturvallisuuden varmistus                                                         T...
Käytännössä tietoturvallisuuden tehokas hallinta     on organisaation johtamista              Tietoturvallisuuden hallinta...
Major challenges for the information     security management               1.      Integration:                      –    ...
Organisaatioita ei pidä yrittää sopeuttaa oppeihin     tai malleihin. Entä miten päinvastoin?12     2902/2.10.2004/jan
System concept           System (*) is a set of interrelated or interacting elements    A system’s           Management   ...
Tietoturvallisuuden hallintajärjestelmä,     Information security management system (ISMS),               Alan perusstanda...
From a business                                                                                            Promotion     e...
Integration is an urgent necessity               There are lots of different standards for specialized aspects of manageme...
Erillisistä hallintajärjestelmistä     järjestelmällisyyteen               Organisatorinen järjestelmällisyys toteutuu lii...
Integrating specialized domains of management     standardization and ensuring natural business diversity              The...
Common structure and text     for all management system requirements standards               4. Context of the organizatio...
Sidosryhmät (asiakkaat) kokevat tietoturvallisuuden     organisaation tuotteiden kautta                 Organisaatio:     ...
Tietoturvallisuuden hallinta organisaation     strategisessa (1) ja operatiivisessa (2) johtamisessa             (1) Strat...
Information security management: Planning, controlling,     and improving the performance of business processes           ...
Tasapaino prosessien ja struktuurin välillä                            Toimivuus            Struktuuri #1                 ...
Organisaation todellinen ekosysteemi luo     pohjan tietoturvallisuuden toteuttamiselle               Organisaatioiden toi...
Problem and challenge of the information security     profession to adapt to the needs of modern society              Chan...
Tietoturvallisuuden hallinta     ei ole ON / EI asia!                      ON                                       (1)   ...
Organisaation tietoturvallisuuden hallinnan     suorituskyvyn sumeus (fuzziness)               Organisaation tietoturvalli...
Haasteena hallintastandardien laadinta ja käyttö     Yhteenveto: Standardoinnin triangelidraama                           ...
Juhani Anttila, Independent Expert                          Independent expert, Venture Knowledgist               •     Ex...
Upcoming SlideShare
Loading in …5
×

Sfs it-2010

821 views

Published on

Published in: Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
821
On SlideShare
0
From Embeds
0
Number of Embeds
21
Actions
Shares
0
Downloads
3
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sfs it-2010

  1. 1. Haasteena hallintastandardien laadinta ja käyttö Juhani Anttila Venture Knowledgist Quality Integration juhani.anttila@telecon.fi , www.QualityIntegration.biz 29.11.2010 These pages are licensed under Creative Commons Nimeä 3.0 lisenssi1 http://creativecommons.org/licenses/by/3.0/deed.fi Mainitse lähde
  2. 2. Haasteena hallintastandardien laadinta ja käyttö Esityksen pääteemoja: Standardoinnin ja soveltamisen prosessit Vahvuudet ja Käsitteellinen ja heikkoudet rakenteellinen sumeus Integroitu hallinta Järjestelmät ja Strateginen ja järjestelmällisyys operatiivinen johtaminen Prosessit ja struktuurit Toimintaympäristöjen haasteet Arviointi ja suorituskyky Erityisenä fokuksena tietoturvallisuuden hallinnan standardisointi: - kritiikkiä - pelastussanomaa2 3846/28.10.2010/jan
  3. 3. Standardoinnin “fertiloiva” vaikutus ja organisaatioiden reaalitoiminta Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X Standardoinnin aihealue Aihealueen todellinen käytännön toteutus (Ekosysteemi) Organisaatio A: Toteutuselementit A: Innovaatioprosessi A3 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B 3484.7.11.2010/jan
  4. 4. Kansainvälisessä standardisoinnissa on vahvuuksia ja heikkouksia • Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laaja yhteishyväksyntä ja levinneisyys. • Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekä epätasainen resurssointi. – Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä. – Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman kehittymistä. • Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts. sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääse standardeihin: – hyväksytään jonkun tekemä teksti – muokataan yhteisesti hyväksyttävä teksti – otetaan mukaan ”kilpailevat” vaihtoehdot – kiistanalaisesta asiasta ei mainita mitään Standardeja soveltavassa organisaatiossa tulee hyödyntää kansainvälisen standardisoinnin vahvuuksia ja tulee korjata ja4 täydentää standardeihin sisältyviä ongelmia ja puutteita. Standardeissa ei ole mitään esteitä soveltajan innovaatioille. 3842/30.10.2010/jan
  5. 5. Kansainvälinen tietoturvallisuuden hallinnan standardisointi on hyvin hajanaista Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITU Näillä kaikilla on standardeja myös tietoturvallisuuden alueella. ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti (ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät: •ISO/IEC 27000 Information security management systems – Overview and vocabulary •ISO/IEC 27001 Information security management systems requirements •ISO/IEC 27002 Code of practice for information security management •... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti. •ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO Standarditilanne on hyvin 27799), joista vastuu on jollakin muulla komitealla. sekava ja hämmentävä, esim. •ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDn top-down ja bottom-up eivät tietojärjestelmien ja -verkkojen turvallisuusohjeeseen. kohtaa. Olisi välttämätöntä jämäkkä ISO/IEC 27000- •On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm. perhesuunnittelu. ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll, FISMA, HIPAA, GLBA, NIST, jne. Päävastuu soveltamisesta •ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihin lankeaa aina yksittäisille organisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm. soveltaja-organisaatioille, ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitä joiden on monesti vaikea5 standardeja on tarpeen soveltaa samanaikaisesti. ymmärtää sekavaa tilannetta. 3841/4.11.2010/jan
  6. 6. Standardiaiheista käydään laajaa julkista keskustelua mm. sosiaalisen median piirissä, esim. LinkedIn Risk managers (14261) ISO/IEC 27000 for information security management (5181) Governance, risk and compliance management (11611) Information security community (70132) BS25999 Business continuity management system (438) IT governance (12559) Keskusteluista käy ilmi, että Information security standards (728) osallistujilla on hyvin erilaisia näkemyksiä jopa aivan perus-6 käsitteistä ja -kysymyksistä. 3840/2.11.2010/jan
  7. 7. Tietoturvallisuus on käsitekokonaisuutena vaikea ja monitulkintainen aihealue Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja • Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden • Saatavuus, availability välisten suhteiden epäselvyys • Luottamuksellisuus, confidentiality haittaavat niiden tehokasta Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista. • Aitous, authenticity Epäselvyyttä aiheutuu myös käsitteiden safety (turva) ja Koko tietoturvallisuusajattelun peruskäsitteinä, security (turvallisuus) “arkkityyppeinä”, ovat epäjohdonmukaisesta • Identiteetti , identity käytöstä. • Yksityisyys, privacy Huom: Securityn alkuperäinen Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty. merkitys tarkoittaa huoletonta Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA, olotilaa ja toimintaa: Latinan mikä ei kuitenkaan mitenkään avaa käsitteiden välisiä sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) sidoksia. huoli + -us adjektiivi suffix.7 1923/11.11.2010/jan
  8. 8. Basic terms and definitions are not considered consistently or logically in the ISO/IEC 27000 standards. • Definition of information security: “Preservation of confidentiality, integrity and availability of information, and ... other properties can also be involved”  This not any proper definition. It is only an open list of issues.  The definition is reactive and preventing (preservation/protection) negations, not promoting proactively positive aspects. Ref.: information security <=> knowledge management  The definition should be consistent with the concepts of information, knowledge and security. • The concept information security management (ISM) has not been defined at all in the ISM standards. • The concept information security assurance (ISA) and its relationship with ISM are unclear. • ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusion among standards users because the relationships among the key managerial concepts are not clear:  Organization/business management, corporate governance, IT governance (ITG), corporate governance of IT, information security management (ISM), information security governance (ISG), and information security assurance (ISA). These are used in many documents. Business people should be able to deal with the concepts consistently and effectively in practice.8 3765/12.11.2010/jan
  9. 9. Tietoturvallisuuden hallinta ja tietoturvallisuuden varmistus Tietoturvallisuuden ISO/IEC27001 hallinta (*), on osa ISO/IEC27002 ISO/IEC27002:a Standardisointikomiteassa ISO/IEC JTC1 SC 27 on Tietoturvallisuuden edelleenkin standardien varmistus (**), ISO/IEC27001 ja ISO/IEC27002 ISO/IEC27001 välinen suhde epäselvä. Myöskään tietoturvallisuuden hallinnan yleisistä periaatteista Tietoturvallisuuden hallinnan periaatteet ei ole yhteisymmärrystä. (*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus (**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus9 3665/3.11.2010/jan
  10. 10. Käytännössä tietoturvallisuuden tehokas hallinta on organisaation johtamista Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia organisaation liiketoiminnan johtamiseen:  Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.  Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa. Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua asianmukaisesti eikä vaikuttavasti tai tehokkaasti.10 3776/3.11.2010/jan
  11. 11. Major challenges for the information security management 1. Integration: – Implementing effective / efficient and business-relevant Information security management  information security principles and methodology embedded within organization’s normal activities of information security within strategic and operational management management 2. Responsiveness: – Being able to adjust quickly to suddenly altered Stiff solutions  external conditions and business environments, and to Dynamic and flexible resume stable operation without undue delay business realization 3. Innovation: – Striving continuously for new organization-dedicated Standard approach  innovative and unique solutions and encouraging An organization’s unique various choices for information security management approach in different organizations.11 3784/2.11.2010/jan
  12. 12. Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin?12 2902/2.10.2004/jan
  13. 13. System concept System (*) is a set of interrelated or interacting elements A system’s Management (processes). creators and owners - A system is an entity that maintains its existence and functions as a whole through the interaction of its parts. - A system has always an aim or purpose defined by the A system system’s creators or owners. The system is just created (and its elements) to accomplish its aim. - A system has interactions and transactions with its environment to get input from and to provide output for Inputs and outputs through system’s stakeholders. Stakeholders may set interactions and transactions requirements to the system. - A system is managed as a whole. Management is based System environment, on knowledge and information and PDCA management Needs and expectations (requirements) model (feedback). (Stakeholders and system-competitors) An organization is a system. System management domain System requirements Internal interest External interest13 Effectiveness and efficiency Effectiveness (Ref. Russells paradox) 3732/20.1.2010/jan (*) Ref. ISO 9000 definition
  14. 14. Tietoturvallisuuden hallintajärjestelmä, Information security management system (ISMS), Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu kahdesta osasta: 1. Organisaation johtamisjärjestelmä (management system, MS): - Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden saavuttamiseen käytettävä järjestelmä 2. Tietoturvallisuus (information security, IS): - Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä ISMS =/= Tietoturvallisuuden johtamisjärjestelmä ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettu organisaation liiketoimintatarpeita varten. Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan. Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiä järjestelmiä tietoturvallisuuden hallintaa varten.14 3777/2.11.2010/jan
  15. 15. From a business Promotion establishment and support: * Standardization to satisfying AN ORGANIZATION •Political impact •Regulation requirements •Juridical practices * Consultancy Business activities: * etc. -Operational duties- -Strategic development- Management and Management system  Owner Action plans Infrastructure Strategies Vision Mission Values and (Business creator), apprecia- Policies Stakeholders, needs and Competitors Purpose expectations: tions * Products * Price and cost15 Profound knowledge: Business management sciences and experiences + 3749/25.10.2010/jan Expertises in quality, information security, environmental protection, etc.
  16. 16. Integration is an urgent necessity There are lots of different standards for specialized aspects of management systems – e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc. The number of standard requirements for management systems is increasing in fields associated with transportation, societal security, records management, event management and energy, etc. There is a very clear urgency and need for harmonization of the related standards. The practical requirement is that for achieving business efficiency and effectiveness there should be one and only one management system in all organization; there should be only one way of governing an organization, not four or five different ways! Into this one management system, one must fit the element of information security, quality, environment , etc. The concept ecosystem is being used already even in the management system standardization. Ecosystem = a system formed by the interaction of a community of organisms with their16 environment. 3843/30.10.2010/jan
  17. 17. Erillisistä hallintajärjestelmistä järjestelmällisyyteen Organisatorinen järjestelmällisyys toteutuu liiketoiminnan rakenteiden ja toiminnan (prosessien) kautta.17 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen hallintajärjestelmä on keinotekoinen rajoite ja rasite. 3752/7.11.2010/jan
  18. 18. Integrating specialized domains of management standardization and ensuring natural business diversity The Finnish model Finance for integration (MSS) Product General management Environment quality system General Occupational management Ethics responsibilities health and safety and a business Organizational system identity & privacy Social Security responsibility Risks Organizational diversity18 3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)
  19. 19. Common structure and text for all management system requirements standards 4. Context of the organization 7. Support 4.1 Understanding of the organization 7.1Resources and its context 7.2 Competence 4.2 Needs and requirements 7.3 Awareness 4.3 Management system and scope 7.4 Communication 5. Leadership 7.4.1 External communication 5.1 General 7.4.2 Internal communication 5.2 Management commitment 7.5 Documented information 5.3 Policy 7.5.1 General 5.4 Organizational roles, 7.5.2 Create and update responsibilities and authorities 7.5.3 Control of documented 6 Planning Information 6.1 Objectives and plans to achieve 8. Operation them 8.1 Operational planning and control 6.2 Action to address issues and 9. Performance Evaluation concerns 9.1 Monitoring and measurement 9.2 Internal Audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement This commom structure describes a general business management structure.19 All information security aspects must be implemented within this business management structure. 3839/28.10.2010/jan (Ref.: Joint Technical Co-ordination Group (JTCG))
  20. 20. Sidosryhmät (asiakkaat) kokevat tietoturvallisuuden organisaation tuotteiden kautta Organisaatio: Tuote: Sidosryhmä Tietoturvallisuus syntyy (asiakas): johtamisen ja prosessien Tavara kautta Info Myönteiset ja Lasku kielteiset tekijät (*) ---- Johtaminen ---- Ihmispalvelu Valinta Automaatti- palvelu Prosessit Liitäntäpinta sidosryhmään Sidosryhmätransaktiot20 (”totuuden hetket”) 3844/14.10.2010/jan (*) Good-will <=> Bad-will -tasapaino
  21. 21. Tietoturvallisuuden hallinta organisaation strategisessa (1) ja operatiivisessa (2) johtamisessa (1) Strateginen johtaminen: – Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä systeemikokonaisuutena) – Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle tietoturvallisuuskysymyksissä – Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat lisääntymässä – Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit – Muutosjohtaminen, entisestä luopuminen (2) Operatiivinen johtaminen: – Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa – Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti – Operatiivinen nykyisyysnäkökulma – Prosessin / projektin sisäinen parantamistoiminta Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitä varten on erilaiset menettelyt. Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työn tekemiseen kuten myös asiantuntijat.21 3780/2.11.2010/jan
  22. 22. Information security management: Planning, controlling, and improving the performance of business processes Performance (5) New performance A P planning Good C D Control with the new limit A P (4) Breakthrough C D improvement (2) Performance control (3) Small step improvement ”Kaizen” (1) Performance A P planning Control limit Prevention C D Bad Rectifying sporadic problems Time22 Feedback 3766/12.11.2010/jan (Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)
  23. 23. Tasapaino prosessien ja struktuurin välillä Toimivuus Struktuuri #1 Struktuurin tulee palvella prosesseja (ts. toimintaa). Ulkopuolisesti pakotettu Struktuuri #2 struktuuri on haitallinen Prosessi (toiminta): organisaation identiteetin Itsestään kannalta. syntyvä, reaali- aikainen, aktiivinen, taitava, ohjautuva, oppiva, Tasapaino: avoin, - Vapaus / ohjaus elävä Rakenteen - Tietoisuus / ohjeet jäykkyys - Ihmiset / järjestelmät Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus passiivinen, opetettu, pakotettu, suljettu, kuollut23 360624/10.1.2010/jan
  24. 24. Organisaation todellinen ekosysteemi luo pohjan tietoturvallisuuden toteuttamiselle Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisuja tietoturvallisuuden toteuttamisessa ja standardoinnissa: Epävarmuus ja monikäsitteisyys:  Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja –ohjautuvissa verkoissa  Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja  Toiminta globaalista ja aluepatrioottista  Toiminnot ja muutokset jatkuvasti nopeutuneet  Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)  Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen  Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut  Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä asemassa  Transaktiokustannuksilla tärkeä merkitys ja vaikutus  Johdolla ja työntekijöillä alituinen kiire Varmuus ja ennustettavuus24 3847/2.11.2010/jan (Refs.:D Zohar, R D Stacey)
  25. 25. Problem and challenge of the information security profession to adapt to the needs of modern society Changed business environments (whole ecosystems) cannot be avoided: “No boundaries – The old boundaries have been obliterated. Today’s trends increase uncertainty, variety, variability, dynamics in all areas of business management.” (*) Speed Changes Business Agility environments Problem, ”Crisis of the Complexity and society information security Diversity management” Networking Immaterialness Preferred scenario: Variety - Global adaptation: Evolution Information toward a synergistic society security profession in - Breaktrough transformations its entirety needed in the information security profession including Time the related standardization25 3641/2.11.2010/jan (*) Ref.: ASQ Future study 2008
  26. 26. Tietoturvallisuuden hallinta ei ole ON / EI asia! ON (1) Tieto- turvallisuus EI (0) EI ON ”Tietoturvallisuustemput”26 1934/30.1.2010/jan
  27. 27. Organisaation tietoturvallisuuden hallinnan suorituskyvyn sumeus (fuzziness) Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*) Huipputasoa 1 = täydellinen yritys Kypsyyttä Organisaatiot, joilla on Kilpailukykyä kolmannen osapuolen sertifikaatti Muutostarve? Miten toteuttaa muutos, Tehokkuutta prosesseissa ja liiketoimintajärjestelmässä? Alkua Tarinaa 0 = täysin kyvytön organisaatio 0 10 30 40 60 70 90 100 Suorituskyvyn arviointitulos % (*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaation toimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksia27 tietoturvallisuuden kannalta 3688/7.11.2010/jan (*) Ref.: Performance excellence models
  28. 28. Haasteena hallintastandardien laadinta ja käyttö Yhteenveto: Standardoinnin triangelidraama 2. Standardien soveltaminen on organisaatioiden omalla vastuulla. - Johtamisjärjestelmiä ei voi 1. Kansainvälinen standardointi on standardoida. merkittävää kansainvälistä - Kansainvälisiä standardeja pitää yhteistoimintaa sen ongelmista ymmärtää ja soveltaa itselle huolimatta ja vaikka sen prosessit ja hyödyllisellä tavalla omassa -menettelyt kehittyvät tuskastut- johtamisjärjestelmässä. tavan hitaasti. - Hyödyntämisessä tulee arvostaa - Standardointitoimintaan ei ole integrointia, innovatiivisuutta ja nopeasti saatavissa parannusta. herkästi reagoimalla tarpeiden ja - Yleiset standardit ovat aina odotusten mukaisesti. puutteellisia. - Näitä varten kuitenkin tarvitaan - Standardien soveltajalle on tärkeätä tietämistä, osaamista ja uskallusta. tietää ja ymmärtää, mitä standardoin- nissa tapahtuu ja miten. Tämä voi 3. Kaupallinen hallintajärjestelmäsertifiointi toteutua vain osallistumalla. häiritsee aitoa standardien soveltamista.28 - Tarvitaan uusia innovatiivisiä keinoja 3845/12.11.2010/jan varmistustoimintaa (assurance) varten.
  29. 29. Juhani Anttila, Independent Expert Independent expert, Venture Knowledgist • Expertise of more than 40 years in the field of quality and 20 years of information security • 35 years at different quality related positions at Telecom Finland and Sonera Corporation • Several decades’ involvement with international and national standardization of quality, reliability, information security and telecommunications • Many years Assembly Representative and Vice President of the European Organization for Quality (EOQ) • A founder and developer of the Finnish National Quality Award, Developer and assessor of the European Quality Award • International Academician for Quality (Member of the International Academy for Quality) • Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality and Productivity Society of Pakistan • Board member or chairman in some companies • Expert adviser in several organizations in quality management, dependability management, information security management, crisis management and social media, and lecturer in some universities • Expert in projects in some developing countries • Contributing by writings, lectures, and speeches globally on five continents29 3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )

×