1

Haasteena hallintastandardienlaadinta ja käyttö

29.11.2010

Juhani AnttilaVenture Knowledgist Quality Integrationjuhani.anttila@telecon.fi , www.QualityIntegration.biz

These pages are licensed under

Creative Commons Nimeä 3.0 lisenssi http://creativecommons.org/licenses/by/3.0/deed.fi

Mainitse lähde

2

Esityksen pääteemoja:

Haasteena hallintastandardienlaadinta ja käyttö

3846/28.10.2010/jan

Erityisenä fokuksenatietoturvallisuuden hallinnanstandardisointi:- kritiikkiä- pelastussanomaa

Standardoinnin jasoveltamisen prosessit

Vahvuudet jaheikkoudet

Käsitteellinen jarakenteellinen sumeus

Integroituhallinta Järjestelmät ja

järjestelmällisyysStrateginen jaoperatiivinenjohtaminen Prosessit ja

struktuuritToimintaympäristöjen

haasteetArviointi jasuorituskyky

3

Standardoinnin “fertiloiva” vaikutusja organisaatioiden reaalitoiminta

Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X

Organisaatio A: Toteutuselementit A: Innovaatioprosessi A

Aihealueen todellinen käytännön toteutus(Ekosysteemi)

3484.7.11.2010/jan

Standardoinnin aihealue

Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y

Organisaatio B: Toteutuselementit B: Innovaatioprosessi B

4

Kansainvälisessä standardisoinnissaon vahvuuksia ja heikkouksia

• Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laajayhteishyväksyntä ja levinneisyys.

• Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekäepätasainen resurssointi.– Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä.– Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman

kehittymistä.

• Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts.sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääsestandardeihin:– hyväksytään jonkun tekemä teksti– muokataan yhteisesti hyväksyttävä teksti– otetaan mukaan ”kilpailevat” vaihtoehdot– kiistanalaisesta asiasta ei mainita mitään

3842/30.10.2010/jan

Standardeja soveltavassa organisaatiossa tulee hyödyntääkansainvälisen standardisoinnin vahvuuksia ja tulee korjata jatäydentää standardeihin sisältyviä ongelmia ja puutteita.Standardeissa ei ole mitään esteitä soveltajan innovaatioille.

5

3841/4.11.2010/jan

Kansainvälinen tietoturvallisuuden hallinnanstandardisointi on hyvin hajanaista

Standarditilanne on hyvinsekava ja hämmentävä, esim.top-down ja bottom-up eivätkohtaa. Olisi välttämätöntä

jämäkkä ISO/IEC 27000-perhesuunnittelu.

Päävastuu soveltamisestalankeaa aina yksittäisille

soveltaja-organisaatioille,joiden on monesti vaikea

ymmärtää sekavaa tilannetta.

ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti(ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät:

•ISO/IEC 27000 Information security management systems – Overview and vocabulary•ISO/IEC 27001 Information security management systems requirements•ISO/IEC 27002 Code of practice for information security management•... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti.

Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITUNäillä kaikilla on standardeja myös tietoturvallisuuden alueella.

•ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO27799), joista vastuu on jollakin muulla komitealla.•ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDntietojärjestelmien ja -verkkojen turvallisuusohjeeseen.•On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm.ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll,FISMA, HIPAA, GLBA, NIST, jne.•ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihinorganisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm.ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitästandardeja on tarpeen soveltaa samanaikaisesti.

6

Standardiaiheista käydään laajaa julkista keskusteluamm. sosiaalisen median piirissä, esim. LinkedIn

3840/2.11.2010/jan

Risk managers (14261)

ISO/IEC 27000 for information security management (5181)

Governance, risk and compliance management (11611)

Information security community (70132)

BS25999 Business continuity management system (438)

IT governance (12559)

Information security standards (728) Keskusteluista käy ilmi, ettäosallistujilla on hyvin erilaisianäkemyksiä jopa aivan perus-käsitteistä ja -kysymyksistä.

7

Tietoturvallisuus on käsitekokonaisuutenavaikea ja monitulkintainen aihealue

1923/11.11.2010/jan

Tietoturvallisuuden tavoitteena on tiedon:• Virheettömyys (eheys), integrity• Saatavuus, availability• Luottamuksellisuus, confidentiality

Lisäksi näiden yhteydessä tuodaan esille myös:• Aitous, authenticity

Koko tietoturvallisuusajattelun peruskäsitteinä,“arkkityyppeinä”, ovat

• Identiteetti , identity• Yksityisyys, privacy

Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty.Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA,mikä ei kuitenkaan mitenkään avaa käsitteiden välisiäsidoksia.

Peruskäsitteiden vaikeus jamonitulkintaisuus sekä niidenvälisten suhteiden epäselvyyshaittaavat niiden tehokastakäytännön toteutumista.Epäselvyyttä aiheutuu myöskäsitteiden safety (turva) jasecurity (turvallisuus)epäjohdonmukaisestakäytöstä.

Huom: Securityn alkuperäinenmerkitys tarkoittaa huoletontaolotilaa ja toimintaa: Latinansēcūrus huoleton = sē-(prefix) ilman, erossa + cūr(a)huoli + -us adjektiivi suffix.

8

• Definition of information security: “Preservation of confidentiality, integrity and availabilityof information, and ... other properties can also be involved”

This not any proper definition. It is only an open list of issues. The definition is reactive and preventing (preservation/protection) negations, notpromoting proactively positive aspects. Ref.: information security <=> knowledgemanagement The definition should be consistent with the concepts of information, knowledge andsecurity.

• The concept information security management (ISM) has not been defined at all in the ISMstandards.• The concept information security assurance (ISA) and its relationship with ISM are unclear.

• ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusionamong standards users because the relationships among the key managerial concepts arenot clear:

Organization/business management, corporate governance, IT governance (ITG),corporate governance of IT, information security management (ISM), informationsecurity governance (ISG), and information security assurance (ISA). These are used inmany documents. Business people should be able to deal with the conceptsconsistently and effectively in practice.

Basic terms and definitions are not considered consistently or logically in the ISO/IEC 27000 standards.

3765/12.11.2010/jan

9

Tietoturvallisuuden hallintaja tietoturvallisuuden varmistus

3665/3.11.2010/jan

(*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus(**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus

Tietoturvallisuudenhallinta (*),ISO/IEC27002

Tietoturvallisuudenvarmistus (**),ISO/IEC27001

Tietoturvallisuuden hallinnan periaatteet

ISO/IEC27001on osaISO/IEC27002:a

StandardisointikomiteassaISO/IEC JTC1 SC 27 onedelleenkin standardien

ISO/IEC27001 ja ISO/IEC27002välinen suhde epäselvä.

Myöskään tietoturvallisuudenhallinnan yleisistä periaatteista

ei ole yhteisymmärrystä.

10

Käytännössä tietoturvallisuuden tehokas hallintaon organisaation johtamista

Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksija ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa

Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaanorganisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointiaorganisaation liiketoiminnan johtamiseen: Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla. Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa.

3776/3.11.2010/jan

Jos organisaation yleinen liiketoiminnallinen johtaminen ei olehallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutuaasianmukaisesti eikä vaikuttavasti tai tehokkaasti.

11

3784/2.11.2010/jan

Major challenges for the informationsecurity management

1. Integration:– Implementing effective / efficient and business-relevant

information security principles and methodologyembedded within organization’s normal activities ofstrategic and operational management

2. Responsiveness:– Being able to adjust quickly to suddenly altered

external conditions and business environments, and toresume stable operation without undue delay

3. Innovation:– Striving continuously for new organization-dedicated

innovative and unique solutions and encouragingvarious choices for information security managementin different organizations.

Information security management information security withinmanagement

Standard approach An organization’s uniqueapproach

Stiff solutions Dynamic and flexiblebusiness realization

122902/2.10.2004/jan

Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin?

13

3732/20.1.2010/jan

System concept

System (*) is a set of interrelated or interacting elements(processes).

- A system is an entity that maintains its existence andfunctions as a whole through the interaction of its parts.- A system has always an aim or purpose defined by thesystem’s creators or owners. The system is just createdto accomplish its aim.- A system has interactions and transactions with itsenvironment to get input from and to provide output forsystem’s stakeholders. Stakeholders may setrequirements to the system.- A system is managed as a whole. Management is basedon knowledge and information and PDCA managementmodel (feedback).

An organization is a system.

(*) Ref. ISO 9000 definition

A system(and its elements)

A system’screators andowners

Management

System environment,Needs and expectations (requirements)(Stakeholders and system-competitors)

Inputs and outputs throughinteractions and transactions

System management domain System requirements

Internal interest External interest Effectiveness and efficiency Effectiveness (Ref. Russell's paradox)

14

Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä(information security management system, ISMS). Käsite muodostuu kahdesta osasta:

1. Organisaation johtamisjärjestelmä (management system, MS):- Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteidensaavuttamiseen käytettävä järjestelmä

2. Tietoturvallisuus (information security, IS):- Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä

ISMS =/= Tietoturvallisuuden johtamisjärjestelmä

ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuuttatietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettuorganisaation liiketoimintatarpeita varten.

Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan.Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiäjärjestelmiä tietoturvallisuuden hallintaa varten.

Tietoturvallisuuden hallintajärjestelmä,Information security management system (ISMS),

3777/2.11.2010/jan

15

3749/25.10.2010/jan

Valuesand

apprecia-tions

Profound knowledge: Business management sciences and experiences +Expertises in quality, information security, environmental protection, etc.

Business activities:-Operational duties-

-Strategic development-

Vision

Mission

Action plans Infrastructure

Strategies PoliciesManagement

andManagement system

Owner(Business creator),Purpose

AN ORGANIZATION

From a businessestablishmentto satisfyingrequirements

Promotionand support:

* Standardization•Political impact

•Regulation•Juridical practices

* Consultancy* etc.

Stakeholders,needs andexpectations:* Products* Price and cost

Competitors

16

Integration is an urgent necessity

There are lots of different standards for specialized aspects of management systems– e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc.

The number of standard requirements for management systems is increasing in fieldsassociated with transportation, societal security, records management, eventmanagement and energy, etc.

There is a very clear urgency and need for harmonization of the related standards.

The practical requirement is that for achieving business efficiency and effectivenessthere should be one and only one management system in all organization; thereshould be only one way of governing an organization, not four or five different ways!Into this one management system, one must fit the element of information security,quality, environment , etc.

3843/30.10.2010/jan

The concept ecosystem is being used alreadyeven in the management system standardization.Ecosystem = a system formed by the interactionof a community of organisms with theirenvironment.

17

Organisatorinen järjestelmällisyys toteutuu liiketoiminnanrakenteiden ja toiminnan (prosessien) kautta.Todellinen ”hallintajärjestelmä” on illuusio ja erityinenhallintajärjestelmä on keinotekoinen rajoite ja rasite.

Erillisistä hallintajärjestelmistäjärjestelmällisyyteen

3752/7.11.2010/jan

18

Integrating specialized domains of managementstandardization and ensuring natural business diversity

3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)

General management

responsibilitiesand a business

system

Risks

Finance

Product quality

Occupational health and safety

Security

Environment

Socialresponsibility

Ethics

The Finnish modelfor integration (MSS)

Organizational diversity

Organizationalidentity & privacy

General managementsystem

19

4. Context of the organization4.1 Understanding of the organization

and its context4.2 Needs and requirements4.3 Management system and scope

5. Leadership5.1 General5.2 Management commitment5.3 Policy5.4 Organizational roles,

responsibilities and authorities6 Planning

6.1 Objectives and plans to achievethem

6.2 Action to address issues andconcerns

Common structure and textfor all management system requirements standards

3839/28.10.2010/jan

7. Support7.1Resources7.2 Competence7.3 Awareness7.4 Communication

7.4.1 External communication7.4.2 Internal communication

7.5 Documented information7.5.1 General7.5.2 Create and update7.5.3 Control of documented

Information8. Operation

8.1 Operational planning and control9. Performance Evaluation

9.1 Monitoring and measurement9.2 Internal Audit9.3 Management review

10. Improvement10.1 Nonconformity and corrective action10.2 Continual improvement

This commom structure describes a general business management structure.All information security aspects must be implemented within this business management structure.

(Ref.: Joint Technical Co-ordination Group (JTCG))

20

3844/14.10.2010/jan

Sidosryhmät (asiakkaat) kokevat tietoturvallisuudenorganisaation tuotteiden kautta

Automaatti-palvelu

Organisaatio:Tietoturvallisuus syntyyjohtamisen ja prosessienkautta

Prosessit

InfoLasku--------

Liitäntäpinta sidosryhmäänSidosryhmätransaktiot (”totuuden hetket”)

Valinta

Myönteiset ja kielteiset tekijät (*)

Tuote:

Ihmispalvelu

Sidosryhmä(asiakas):

Tavara

Johtaminen

(*) Good-will <=> Bad-will -tasapaino

21

Tietoturvallisuuden hallinta organisaationstrategisessa (1) ja operatiivisessa (2) johtamisessa

(1) Strateginen johtaminen:– Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä

systeemikokonaisuutena)– Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle

tietoturvallisuuskysymyksissä– Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat

lisääntymässä– Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit– Muutosjohtaminen, entisestä luopuminen

(2) Operatiivinen johtaminen:– Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa– Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti– Operatiivinen nykyisyysnäkökulma– Prosessin / projektin sisäinen parantamistoiminta

Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitävarten on erilaiset menettelyt.Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työntekemiseen kuten myös asiantuntijat.

3780/2.11.2010/jan

22

3766/12.11.2010/jan

Performance

(5) New performanceplanning

(4) Breakthroughimprovement

Control with the new limit

(2) Performance control

Rectifying sporadicproblems

Feedback

Bad

Time

(Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)

Information security management: Planning, controlling,and improving the performance of business processes

Prevention

(3) Small step improvement”Kaizen”

Control limit(1) Performance

planningA PC D

A PC D

A PC D

Good

23

Tasapaino prosessien ja struktuurin välillä

360624/10.1.2010/jan

Rakenteenjäykkyys

Toimivuus Struktuuri #1

Struktuuri #2

Tasapaino:- Vapaus / ohjaus- Tietoisuus / ohjeet- Ihmiset / järjestelmät- Luovuus / reaktiivisuusStruktuuri (oleva): Suunniteltu, rakennettu, ohjattu,

passiivinen, opetettu, pakotettu, suljettu, kuollut

Prosessi(toiminta):Itsestään syntyvä,

reaali-aikainen, aktiivinen,

taitava,ohjautuva,

oppiva,avoin,elävä

Struktuurin tulee palvellaprosesseja (ts. toimintaa).Ulkopuolisesti pakotettustruktuuri on haitallinenorganisaation identiteetinkannalta.

24

Organisaation todellinen ekosysteemi luopohjan tietoturvallisuuden toteuttamiselle

3847/2.11.2010/jan

Epävarmuus ja monikäsitteisyys: Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja

–ohjautuvissa verkoissa Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja Toiminta globaalista ja aluepatrioottista Toiminnot ja muutokset jatkuvasti nopeutuneet Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet) Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä

asemassa Transaktiokustannuksilla tärkeä merkitys ja vaikutus Johdolla ja työntekijöillä alituinen kiire

(Refs.:D Zohar, R D Stacey)

Varmuus ja ennustettavuus

Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisujatietoturvallisuuden toteuttamisessa ja standardoinnissa:

25

Problem and challenge of the information securityprofession to adapt to the needs of modern society

3641/2.11.2010/jan

Time

SpeedChangesAgilityComplexityDiversityNetworkingImmaterialnessVariety

Businessenvironmentsand society Problem, ”Crisis of the

information securitymanagement”

Informationsecurityprofession inits entirety

Changed business environments (whole ecosystems) cannot be avoided:“No boundaries – The old boundaries have been obliterated. Today’s trends increaseuncertainty, variety, variability, dynamics in all areas of business management.” (*)

(*) Ref.: ASQ Future study 2008

Preferred scenario:- Global adaptation: Evolutiontoward a synergistic society- Breaktrough transformationsneeded in the informationsecurity profession includingthe related standardization

26

Tietoturvallisuuden hallintaei ole ON / EI asia!

1934/30.1.2010/jan

ON

EIEI ON

(1)

(0)

”Tietoturvallisuustemput”

Tieto-turvallisuus

27

Organisaation tietoturvallisuuden hallinnansuorituskyvyn sumeus (fuzziness)

0 3010 6040 70 90 100%

0 = täysin kyvytön organisaatio

1 = täydellinen yritys

Suorituskyvyn arviointitulos

Tarinaa

Kilpailukykyä

Alkua

Huipputasoa

Kypsyyttä

3688/7.11.2010/jan

Tehokkuutta

Muutostarve?Miten toteuttaa muutos,prosesseissa ja liiketoimintajärjestelmässä?

Organisaatiot, joilla onkolmannen osapuolen sertifikaatti

(*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaationtoimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksiatietoturvallisuuden kannalta

Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*)

(*) Ref.: Performance excellence models

28

Haasteena hallintastandardien laadinta ja käyttöYhteenveto: Standardoinnin triangelidraama

3845/12.11.2010/jan

2. Standardien soveltaminen onorganisaatioiden omalla vastuulla.- Johtamisjärjestelmiä ei voistandardoida.- Kansainvälisiä standardeja pitääymmärtää ja soveltaa itsellehyödyllisellä tavalla omassajohtamisjärjestelmässä.- Hyödyntämisessä tulee arvostaaintegrointia, innovatiivisuutta jaherkästi reagoimalla tarpeiden jaodotusten mukaisesti.- Näitä varten kuitenkin tarvitaantietämistä, osaamista ja uskallusta.

3. Kaupallinen hallintajärjestelmäsertifiointihäiritsee aitoa standardien soveltamista.- Tarvitaan uusia innovatiivisiä keinojavarmistustoimintaa (assurance) varten.

1. Kansainvälinen standardointi onmerkittävää kansainvälistäyhteistoimintaa sen ongelmistahuolimatta ja vaikka sen prosessit ja-menettelyt kehittyvät tuskastut-tavan hitaasti.- Standardointitoimintaan ei olenopeasti saatavissa parannusta.- Yleiset standardit ovat ainapuutteellisia.- Standardien soveltajalle on tärkeätätietää ja ymmärtää, mitä standardoin-nissa tapahtuu ja miten. Tämä voitoteutua vain osallistumalla.

29

Juhani Anttila, Independent ExpertIndependent expert, Venture Knowledgist

• Expertise of more than 40 years in the field of quality and 20 years of informationsecurity

• 35 years at different quality related positions at Telecom Finland and Sonera Corporation• Several decades’ involvement with international and national standardization of quality,

reliability, information security and telecommunications• Many years Assembly Representative and Vice President of the European Organization

for Quality (EOQ)• A founder and developer of the Finnish National Quality Award, Developer and assessor

of the European Quality Award• International Academician for Quality (Member of the International Academy for Quality)• Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality

and Productivity Society of Pakistan• Board member or chairman in some companies• Expert adviser in several organizations in quality management, dependability

management, information security management, crisis management and social media,and lecturer in some universities

• Expert in projects in some developing countries• Contributing by writings, lectures, and speeches globally on five continents

3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )