Upload
juhani-anttila
View
1.022
Download
4
Embed Size (px)
DESCRIPTION
Citation preview
1
Haasteena hallintastandardienlaadinta ja käyttö
29.11.2010
Juhani AnttilaVenture Knowledgist Quality [email protected] , www.QualityIntegration.biz
These pages are licensed under
Creative Commons Nimeä 3.0 lisenssi http://creativecommons.org/licenses/by/3.0/deed.fi
Mainitse lähde
2
Esityksen pääteemoja:
Haasteena hallintastandardienlaadinta ja käyttö
3846/28.10.2010/jan
Erityisenä fokuksenatietoturvallisuuden hallinnanstandardisointi:- kritiikkiä- pelastussanomaa
Standardoinnin jasoveltamisen prosessit
Vahvuudet jaheikkoudet
Käsitteellinen jarakenteellinen sumeus
Integroituhallinta Järjestelmät ja
järjestelmällisyysStrateginen jaoperatiivinenjohtaminen Prosessit ja
struktuuritToimintaympäristöjen
haasteetArviointi jasuorituskyky
3
Standardoinnin “fertiloiva” vaikutusja organisaatioiden reaalitoiminta
Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X
Organisaatio A: Toteutuselementit A: Innovaatioprosessi A
Aihealueen todellinen käytännön toteutus(Ekosysteemi)
3484.7.11.2010/jan
Standardoinnin aihealue
Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y
Organisaatio B: Toteutuselementit B: Innovaatioprosessi B
4
Kansainvälisessä standardisoinnissaon vahvuuksia ja heikkouksia
• Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laajayhteishyväksyntä ja levinneisyys.
• Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekäepätasainen resurssointi.– Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä.– Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman
kehittymistä.
• Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts.sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääsestandardeihin:– hyväksytään jonkun tekemä teksti– muokataan yhteisesti hyväksyttävä teksti– otetaan mukaan ”kilpailevat” vaihtoehdot– kiistanalaisesta asiasta ei mainita mitään
3842/30.10.2010/jan
Standardeja soveltavassa organisaatiossa tulee hyödyntääkansainvälisen standardisoinnin vahvuuksia ja tulee korjata jatäydentää standardeihin sisältyviä ongelmia ja puutteita.Standardeissa ei ole mitään esteitä soveltajan innovaatioille.
5
3841/4.11.2010/jan
Kansainvälinen tietoturvallisuuden hallinnanstandardisointi on hyvin hajanaista
Standarditilanne on hyvinsekava ja hämmentävä, esim.top-down ja bottom-up eivätkohtaa. Olisi välttämätöntä
jämäkkä ISO/IEC 27000-perhesuunnittelu.
Päävastuu soveltamisestalankeaa aina yksittäisille
soveltaja-organisaatioille,joiden on monesti vaikea
ymmärtää sekavaa tilannetta.
ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti(ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät:
•ISO/IEC 27000 Information security management systems – Overview and vocabulary•ISO/IEC 27001 Information security management systems requirements•ISO/IEC 27002 Code of practice for information security management•... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti.
Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITUNäillä kaikilla on standardeja myös tietoturvallisuuden alueella.
•ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO27799), joista vastuu on jollakin muulla komitealla.•ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDntietojärjestelmien ja -verkkojen turvallisuusohjeeseen.•On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm.ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll,FISMA, HIPAA, GLBA, NIST, jne.•ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihinorganisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm.ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitästandardeja on tarpeen soveltaa samanaikaisesti.
6
Standardiaiheista käydään laajaa julkista keskusteluamm. sosiaalisen median piirissä, esim. LinkedIn
3840/2.11.2010/jan
Risk managers (14261)
ISO/IEC 27000 for information security management (5181)
Governance, risk and compliance management (11611)
Information security community (70132)
BS25999 Business continuity management system (438)
IT governance (12559)
Information security standards (728) Keskusteluista käy ilmi, ettäosallistujilla on hyvin erilaisianäkemyksiä jopa aivan perus-käsitteistä ja -kysymyksistä.
7
Tietoturvallisuus on käsitekokonaisuutenavaikea ja monitulkintainen aihealue
1923/11.11.2010/jan
Tietoturvallisuuden tavoitteena on tiedon:• Virheettömyys (eheys), integrity• Saatavuus, availability• Luottamuksellisuus, confidentiality
Lisäksi näiden yhteydessä tuodaan esille myös:• Aitous, authenticity
Koko tietoturvallisuusajattelun peruskäsitteinä,“arkkityyppeinä”, ovat
• Identiteetti , identity• Yksityisyys, privacy
Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty.Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA,mikä ei kuitenkaan mitenkään avaa käsitteiden välisiäsidoksia.
Peruskäsitteiden vaikeus jamonitulkintaisuus sekä niidenvälisten suhteiden epäselvyyshaittaavat niiden tehokastakäytännön toteutumista.Epäselvyyttä aiheutuu myöskäsitteiden safety (turva) jasecurity (turvallisuus)epäjohdonmukaisestakäytöstä.
Huom: Securityn alkuperäinenmerkitys tarkoittaa huoletontaolotilaa ja toimintaa: Latinansēcūrus huoleton = sē-(prefix) ilman, erossa + cūr(a)huoli + -us adjektiivi suffix.
8
• Definition of information security: “Preservation of confidentiality, integrity and availabilityof information, and ... other properties can also be involved”
This not any proper definition. It is only an open list of issues. The definition is reactive and preventing (preservation/protection) negations, notpromoting proactively positive aspects. Ref.: information security <=> knowledgemanagement The definition should be consistent with the concepts of information, knowledge andsecurity.
• The concept information security management (ISM) has not been defined at all in the ISMstandards.• The concept information security assurance (ISA) and its relationship with ISM are unclear.
• ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusionamong standards users because the relationships among the key managerial concepts arenot clear:
Organization/business management, corporate governance, IT governance (ITG),corporate governance of IT, information security management (ISM), informationsecurity governance (ISG), and information security assurance (ISA). These are used inmany documents. Business people should be able to deal with the conceptsconsistently and effectively in practice.
Basic terms and definitions are not considered consistently or logically in the ISO/IEC 27000 standards.
3765/12.11.2010/jan
9
Tietoturvallisuuden hallintaja tietoturvallisuuden varmistus
3665/3.11.2010/jan
(*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus(**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus
Tietoturvallisuudenhallinta (*),ISO/IEC27002
Tietoturvallisuudenvarmistus (**),ISO/IEC27001
Tietoturvallisuuden hallinnan periaatteet
ISO/IEC27001on osaISO/IEC27002:a
StandardisointikomiteassaISO/IEC JTC1 SC 27 onedelleenkin standardien
ISO/IEC27001 ja ISO/IEC27002välinen suhde epäselvä.
Myöskään tietoturvallisuudenhallinnan yleisistä periaatteista
ei ole yhteisymmärrystä.
10
Käytännössä tietoturvallisuuden tehokas hallintaon organisaation johtamista
Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksija ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa
Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaanorganisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointiaorganisaation liiketoiminnan johtamiseen: Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla. Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa.
3776/3.11.2010/jan
Jos organisaation yleinen liiketoiminnallinen johtaminen ei olehallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutuaasianmukaisesti eikä vaikuttavasti tai tehokkaasti.
11
3784/2.11.2010/jan
Major challenges for the informationsecurity management
1. Integration:– Implementing effective / efficient and business-relevant
information security principles and methodologyembedded within organization’s normal activities ofstrategic and operational management
2. Responsiveness:– Being able to adjust quickly to suddenly altered
external conditions and business environments, and toresume stable operation without undue delay
3. Innovation:– Striving continuously for new organization-dedicated
innovative and unique solutions and encouragingvarious choices for information security managementin different organizations.
Information security management information security withinmanagement
Standard approach An organization’s uniqueapproach
Stiff solutions Dynamic and flexiblebusiness realization
122902/2.10.2004/jan
Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin?
13
3732/20.1.2010/jan
System concept
System (*) is a set of interrelated or interacting elements(processes).
- A system is an entity that maintains its existence andfunctions as a whole through the interaction of its parts.- A system has always an aim or purpose defined by thesystem’s creators or owners. The system is just createdto accomplish its aim.- A system has interactions and transactions with itsenvironment to get input from and to provide output forsystem’s stakeholders. Stakeholders may setrequirements to the system.- A system is managed as a whole. Management is basedon knowledge and information and PDCA managementmodel (feedback).
An organization is a system.
(*) Ref. ISO 9000 definition
A system(and its elements)
A system’screators andowners
Management
System environment,Needs and expectations (requirements)(Stakeholders and system-competitors)
Inputs and outputs throughinteractions and transactions
System management domain System requirements
Internal interest External interest Effectiveness and efficiency Effectiveness (Ref. Russell's paradox)
14
Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä(information security management system, ISMS). Käsite muodostuu kahdesta osasta:
1. Organisaation johtamisjärjestelmä (management system, MS):- Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteidensaavuttamiseen käytettävä järjestelmä
2. Tietoturvallisuus (information security, IS):- Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä
ISMS =/= Tietoturvallisuuden johtamisjärjestelmä
ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuuttatietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettuorganisaation liiketoimintatarpeita varten.
Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan.Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiäjärjestelmiä tietoturvallisuuden hallintaa varten.
Tietoturvallisuuden hallintajärjestelmä,Information security management system (ISMS),
3777/2.11.2010/jan
15
3749/25.10.2010/jan
Valuesand
apprecia-tions
Profound knowledge: Business management sciences and experiences +Expertises in quality, information security, environmental protection, etc.
Business activities:-Operational duties-
-Strategic development-
Vision
Mission
Action plans Infrastructure
Strategies PoliciesManagement
andManagement system
Owner(Business creator),Purpose
AN ORGANIZATION
From a businessestablishmentto satisfyingrequirements
Promotionand support:
* Standardization•Political impact
•Regulation•Juridical practices
* Consultancy* etc.
Stakeholders,needs andexpectations:* Products* Price and cost
Competitors
16
Integration is an urgent necessity
There are lots of different standards for specialized aspects of management systems– e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc.
The number of standard requirements for management systems is increasing in fieldsassociated with transportation, societal security, records management, eventmanagement and energy, etc.
There is a very clear urgency and need for harmonization of the related standards.
The practical requirement is that for achieving business efficiency and effectivenessthere should be one and only one management system in all organization; thereshould be only one way of governing an organization, not four or five different ways!Into this one management system, one must fit the element of information security,quality, environment , etc.
3843/30.10.2010/jan
The concept ecosystem is being used alreadyeven in the management system standardization.Ecosystem = a system formed by the interactionof a community of organisms with theirenvironment.
17
Organisatorinen järjestelmällisyys toteutuu liiketoiminnanrakenteiden ja toiminnan (prosessien) kautta.Todellinen ”hallintajärjestelmä” on illuusio ja erityinenhallintajärjestelmä on keinotekoinen rajoite ja rasite.
Erillisistä hallintajärjestelmistäjärjestelmällisyyteen
3752/7.11.2010/jan
18
Integrating specialized domains of managementstandardization and ensuring natural business diversity
3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)
General management
responsibilitiesand a business
system
Risks
Finance
Product quality
Occupational health and safety
Security
Environment
Socialresponsibility
Ethics
The Finnish modelfor integration (MSS)
Organizational diversity
Organizationalidentity & privacy
General managementsystem
19
4. Context of the organization4.1 Understanding of the organization
and its context4.2 Needs and requirements4.3 Management system and scope
5. Leadership5.1 General5.2 Management commitment5.3 Policy5.4 Organizational roles,
responsibilities and authorities6 Planning
6.1 Objectives and plans to achievethem
6.2 Action to address issues andconcerns
Common structure and textfor all management system requirements standards
3839/28.10.2010/jan
7. Support7.1Resources7.2 Competence7.3 Awareness7.4 Communication
7.4.1 External communication7.4.2 Internal communication
7.5 Documented information7.5.1 General7.5.2 Create and update7.5.3 Control of documented
Information8. Operation
8.1 Operational planning and control9. Performance Evaluation
9.1 Monitoring and measurement9.2 Internal Audit9.3 Management review
10. Improvement10.1 Nonconformity and corrective action10.2 Continual improvement
This commom structure describes a general business management structure.All information security aspects must be implemented within this business management structure.
(Ref.: Joint Technical Co-ordination Group (JTCG))
20
3844/14.10.2010/jan
Sidosryhmät (asiakkaat) kokevat tietoturvallisuudenorganisaation tuotteiden kautta
Automaatti-palvelu
Organisaatio:Tietoturvallisuus syntyyjohtamisen ja prosessienkautta
Prosessit
InfoLasku--------
Liitäntäpinta sidosryhmäänSidosryhmätransaktiot (”totuuden hetket”)
Valinta
Myönteiset ja kielteiset tekijät (*)
Tuote:
Ihmispalvelu
Sidosryhmä(asiakas):
Tavara
Johtaminen
(*) Good-will <=> Bad-will -tasapaino
21
Tietoturvallisuuden hallinta organisaationstrategisessa (1) ja operatiivisessa (2) johtamisessa
(1) Strateginen johtaminen:– Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä
systeemikokonaisuutena)– Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle
tietoturvallisuuskysymyksissä– Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat
lisääntymässä– Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit– Muutosjohtaminen, entisestä luopuminen
(2) Operatiivinen johtaminen:– Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa– Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti– Operatiivinen nykyisyysnäkökulma– Prosessin / projektin sisäinen parantamistoiminta
Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitävarten on erilaiset menettelyt.Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työntekemiseen kuten myös asiantuntijat.
3780/2.11.2010/jan
22
3766/12.11.2010/jan
Performance
(5) New performanceplanning
(4) Breakthroughimprovement
Control with the new limit
(2) Performance control
Rectifying sporadicproblems
Feedback
Bad
Time
(Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)
Information security management: Planning, controlling,and improving the performance of business processes
Prevention
(3) Small step improvement”Kaizen”
Control limit(1) Performance
planningA PC D
A PC D
A PC D
Good
23
Tasapaino prosessien ja struktuurin välillä
360624/10.1.2010/jan
Rakenteenjäykkyys
Toimivuus Struktuuri #1
Struktuuri #2
Tasapaino:- Vapaus / ohjaus- Tietoisuus / ohjeet- Ihmiset / järjestelmät- Luovuus / reaktiivisuusStruktuuri (oleva): Suunniteltu, rakennettu, ohjattu,
passiivinen, opetettu, pakotettu, suljettu, kuollut
Prosessi(toiminta):Itsestään syntyvä,
reaali-aikainen, aktiivinen,
taitava,ohjautuva,
oppiva,avoin,elävä
Struktuurin tulee palvellaprosesseja (ts. toimintaa).Ulkopuolisesti pakotettustruktuuri on haitallinenorganisaation identiteetinkannalta.
24
Organisaation todellinen ekosysteemi luopohjan tietoturvallisuuden toteuttamiselle
3847/2.11.2010/jan
Epävarmuus ja monikäsitteisyys: Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja
–ohjautuvissa verkoissa Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja Toiminta globaalista ja aluepatrioottista Toiminnot ja muutokset jatkuvasti nopeutuneet Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet) Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä
asemassa Transaktiokustannuksilla tärkeä merkitys ja vaikutus Johdolla ja työntekijöillä alituinen kiire
(Refs.:D Zohar, R D Stacey)
Varmuus ja ennustettavuus
Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisujatietoturvallisuuden toteuttamisessa ja standardoinnissa:
25
Problem and challenge of the information securityprofession to adapt to the needs of modern society
3641/2.11.2010/jan
Time
SpeedChangesAgilityComplexityDiversityNetworkingImmaterialnessVariety
Businessenvironmentsand society Problem, ”Crisis of the
information securitymanagement”
Informationsecurityprofession inits entirety
Changed business environments (whole ecosystems) cannot be avoided:“No boundaries – The old boundaries have been obliterated. Today’s trends increaseuncertainty, variety, variability, dynamics in all areas of business management.” (*)
(*) Ref.: ASQ Future study 2008
Preferred scenario:- Global adaptation: Evolutiontoward a synergistic society- Breaktrough transformationsneeded in the informationsecurity profession includingthe related standardization
26
Tietoturvallisuuden hallintaei ole ON / EI asia!
1934/30.1.2010/jan
ON
EIEI ON
(1)
(0)
”Tietoturvallisuustemput”
Tieto-turvallisuus
27
Organisaation tietoturvallisuuden hallinnansuorituskyvyn sumeus (fuzziness)
0 3010 6040 70 90 100%
0 = täysin kyvytön organisaatio
1 = täydellinen yritys
Suorituskyvyn arviointitulos
Tarinaa
Kilpailukykyä
Alkua
Huipputasoa
Kypsyyttä
3688/7.11.2010/jan
Tehokkuutta
Muutostarve?Miten toteuttaa muutos,prosesseissa ja liiketoimintajärjestelmässä?
Organisaatiot, joilla onkolmannen osapuolen sertifikaatti
(*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaationtoimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksiatietoturvallisuuden kannalta
Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*)
(*) Ref.: Performance excellence models
28
Haasteena hallintastandardien laadinta ja käyttöYhteenveto: Standardoinnin triangelidraama
3845/12.11.2010/jan
2. Standardien soveltaminen onorganisaatioiden omalla vastuulla.- Johtamisjärjestelmiä ei voistandardoida.- Kansainvälisiä standardeja pitääymmärtää ja soveltaa itsellehyödyllisellä tavalla omassajohtamisjärjestelmässä.- Hyödyntämisessä tulee arvostaaintegrointia, innovatiivisuutta jaherkästi reagoimalla tarpeiden jaodotusten mukaisesti.- Näitä varten kuitenkin tarvitaantietämistä, osaamista ja uskallusta.
3. Kaupallinen hallintajärjestelmäsertifiointihäiritsee aitoa standardien soveltamista.- Tarvitaan uusia innovatiivisiä keinojavarmistustoimintaa (assurance) varten.
1. Kansainvälinen standardointi onmerkittävää kansainvälistäyhteistoimintaa sen ongelmistahuolimatta ja vaikka sen prosessit ja-menettelyt kehittyvät tuskastut-tavan hitaasti.- Standardointitoimintaan ei olenopeasti saatavissa parannusta.- Yleiset standardit ovat ainapuutteellisia.- Standardien soveltajalle on tärkeätätietää ja ymmärtää, mitä standardoin-nissa tapahtuu ja miten. Tämä voitoteutua vain osallistumalla.
29
Juhani Anttila, Independent ExpertIndependent expert, Venture Knowledgist
• Expertise of more than 40 years in the field of quality and 20 years of informationsecurity
• 35 years at different quality related positions at Telecom Finland and Sonera Corporation• Several decades’ involvement with international and national standardization of quality,
reliability, information security and telecommunications• Many years Assembly Representative and Vice President of the European Organization
for Quality (EOQ)• A founder and developer of the Finnish National Quality Award, Developer and assessor
of the European Quality Award• International Academician for Quality (Member of the International Academy for Quality)• Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality
and Productivity Society of Pakistan• Board member or chairman in some companies• Expert adviser in several organizations in quality management, dependability
management, information security management, crisis management and social media,and lecturer in some universities
• Expert in projects in some developing countries• Contributing by writings, lectures, and speeches globally on five continents
3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )