1. Haasteena hallintastandardien
laadinta ja käyttö
Juhani Anttila
Venture Knowledgist Quality Integration
juhani.anttila@telecon.fi , www.QualityIntegration.biz
29.11.2010
These pages are licensed under
Creative Commons Nimeä 3.0 lisenssi
1 http://creativecommons.org/licenses/by/3.0/deed.fi
Mainitse lähde
2. Haasteena hallintastandardien
laadinta ja käyttö
Esityksen pääteemoja:
Standardoinnin ja
soveltamisen prosessit
Vahvuudet ja Käsitteellinen ja
heikkoudet rakenteellinen sumeus
Integroitu
hallinta Järjestelmät ja
Strateginen ja järjestelmällisyys
operatiivinen
johtaminen Prosessit ja
struktuurit
Toimintaympäristöjen
haasteet
Arviointi ja
suorituskyky
Erityisenä fokuksena
tietoturvallisuuden hallinnan
standardisointi:
- kritiikkiä
- pelastussanomaa
2
3846/28.10.2010/jan
3. Standardoinnin “fertiloiva” vaikutus
ja organisaatioiden reaalitoiminta
Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y
Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X
Standardoinnin
aihealue
Aihealueen todellinen
käytännön toteutus
(Ekosysteemi)
Organisaatio A: Toteutuselementit A: Innovaatioprosessi A
3 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B
3484.7.11.2010/jan
4. Kansainvälisessä standardisoinnissa
on vahvuuksia ja heikkouksia
• Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laaja
yhteishyväksyntä ja levinneisyys.
• Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekä
epätasainen resurssointi.
– Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä.
– Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman
kehittymistä.
• Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts.
sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääse
standardeihin:
– hyväksytään jonkun tekemä teksti
– muokataan yhteisesti hyväksyttävä teksti
– otetaan mukaan ”kilpailevat” vaihtoehdot
– kiistanalaisesta asiasta ei mainita mitään
Standardeja soveltavassa organisaatiossa tulee hyödyntää
kansainvälisen standardisoinnin vahvuuksia ja tulee korjata ja
4 täydentää standardeihin sisältyviä ongelmia ja puutteita.
Standardeissa ei ole mitään esteitä soveltajan innovaatioille.
3842/30.10.2010/jan
5. Kansainvälinen tietoturvallisuuden hallinnan
standardisointi on hyvin hajanaista
Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITU
Näillä kaikilla on standardeja myös tietoturvallisuuden alueella.
ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti
(ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät:
•ISO/IEC 27000 Information security management systems – Overview and vocabulary
•ISO/IEC 27001 Information security management systems requirements
•ISO/IEC 27002 Code of practice for information security management
•... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti.
•ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO Standarditilanne on hyvin
27799), joista vastuu on jollakin muulla komitealla. sekava ja hämmentävä, esim.
•ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDn top-down ja bottom-up eivät
tietojärjestelmien ja -verkkojen turvallisuusohjeeseen. kohtaa. Olisi välttämätöntä
jämäkkä ISO/IEC 27000-
•On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm. perhesuunnittelu.
ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll,
FISMA, HIPAA, GLBA, NIST, jne. Päävastuu soveltamisesta
•ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihin lankeaa aina yksittäisille
organisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm. soveltaja-organisaatioille,
ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitä joiden on monesti vaikea
5 standardeja on tarpeen soveltaa samanaikaisesti. ymmärtää sekavaa tilannetta.
3841/4.11.2010/jan
6. Standardiaiheista käydään laajaa julkista keskustelua
mm. sosiaalisen median piirissä, esim. LinkedIn
Risk managers (14261)
ISO/IEC 27000 for information security management (5181)
Governance, risk and compliance management (11611)
Information security community (70132)
BS25999 Business continuity management system (438)
IT governance (12559)
Keskusteluista käy ilmi, että
Information security standards (728)
osallistujilla on hyvin erilaisia
näkemyksiä jopa aivan perus-
6 käsitteistä ja -kysymyksistä.
3840/2.11.2010/jan
7. Tietoturvallisuus on käsitekokonaisuutena
vaikea ja monitulkintainen aihealue
Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja
• Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden
• Saatavuus, availability välisten suhteiden epäselvyys
• Luottamuksellisuus, confidentiality haittaavat niiden tehokasta
Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista.
• Aitous, authenticity Epäselvyyttä aiheutuu myös
käsitteiden safety (turva) ja
Koko tietoturvallisuusajattelun peruskäsitteinä, security (turvallisuus)
“arkkityyppeinä”, ovat epäjohdonmukaisesta
• Identiteetti , identity käytöstä.
• Yksityisyys, privacy
Huom: Securityn alkuperäinen
Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty. merkitys tarkoittaa huoletonta
Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA, olotilaa ja toimintaa: Latinan
mikä ei kuitenkaan mitenkään avaa käsitteiden välisiä sēcūrus huoleton = sē-
(prefix) ilman, erossa + cūr(a)
sidoksia.
huoli + -us adjektiivi suffix.
7
1923/11.11.2010/jan
8. Basic terms and definitions are not considered
consistently or logically in the ISO/IEC 27000 standards.
• Definition of information security: “Preservation of confidentiality, integrity and availability
of information, and ... other properties can also be involved”
This not any proper definition. It is only an open list of issues.
The definition is reactive and preventing (preservation/protection) negations, not
promoting proactively positive aspects. Ref.: information security <=> knowledge
management
The definition should be consistent with the concepts of information, knowledge and
security.
• The concept information security management (ISM) has not been defined at all in the ISM
standards.
• The concept information security assurance (ISA) and its relationship with ISM are unclear.
• ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusion
among standards users because the relationships among the key managerial concepts are
not clear:
Organization/business management, corporate governance, IT governance (ITG),
corporate governance of IT, information security management (ISM), information
security governance (ISG), and information security assurance (ISA). These are used in
many documents. Business people should be able to deal with the concepts
consistently and effectively in practice.
8
3765/12.11.2010/jan
9. Tietoturvallisuuden hallinta
ja tietoturvallisuuden varmistus
Tietoturvallisuuden ISO/IEC27001
hallinta (*), on osa
ISO/IEC27002 ISO/IEC27002:a
Standardisointikomiteassa
ISO/IEC JTC1 SC 27 on
Tietoturvallisuuden edelleenkin standardien
varmistus (**), ISO/IEC27001 ja ISO/IEC27002
ISO/IEC27001 välinen suhde epäselvä.
Myöskään tietoturvallisuuden
hallinnan yleisistä periaatteista
Tietoturvallisuuden hallinnan periaatteet ei ole yhteisymmärrystä.
(*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus
(**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus
9
3665/3.11.2010/jan
10. Käytännössä tietoturvallisuuden tehokas hallinta
on organisaation johtamista
Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi
ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa
Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan
organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia
organisaation liiketoiminnan johtamiseen:
Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.
Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa.
Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole
hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua
asianmukaisesti eikä vaikuttavasti tai tehokkaasti.
10
3776/3.11.2010/jan
11. Major challenges for the information
security management
1. Integration:
– Implementing effective / efficient and business-relevant Information security management
information security principles and methodology
embedded within organization’s normal activities of information security within
strategic and operational management management
2. Responsiveness:
– Being able to adjust quickly to suddenly altered Stiff solutions
external conditions and business environments, and to Dynamic and flexible
resume stable operation without undue delay business realization
3. Innovation:
– Striving continuously for new organization-dedicated Standard approach
innovative and unique solutions and encouraging An organization’s unique
various choices for information security management approach
in different organizations.
11
3784/2.11.2010/jan
12. Organisaatioita ei pidä yrittää sopeuttaa oppeihin
tai malleihin. Entä miten päinvastoin?
12
2902/2.10.2004/jan
13. System concept
System (*) is a set of interrelated or interacting elements A system’s Management
(processes). creators and
owners
- A system is an entity that maintains its existence and
functions as a whole through the interaction of its parts.
- A system has always an aim or purpose defined by the A system
system’s creators or owners. The system is just created (and its elements)
to accomplish its aim.
- A system has interactions and transactions with its
environment to get input from and to provide output for Inputs and outputs through
system’s stakeholders. Stakeholders may set interactions and transactions
requirements to the system.
- A system is managed as a whole. Management is based System environment,
on knowledge and information and PDCA management Needs and expectations (requirements)
model (feedback). (Stakeholders and system-competitors)
An organization is a system. System management domain System requirements
Internal interest External interest
13 Effectiveness and efficiency Effectiveness
(Ref. Russell's paradox)
3732/20.1.2010/jan (*) Ref. ISO 9000 definition
14. Tietoturvallisuuden hallintajärjestelmä,
Information security management system (ISMS),
Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä
(information security management system, ISMS). Käsite muodostuu kahdesta osasta:
1. Organisaation johtamisjärjestelmä (management system, MS):
- Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden
saavuttamiseen käytettävä järjestelmä
2. Tietoturvallisuus (information security, IS):
- Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi
tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä
ISMS =/= Tietoturvallisuuden johtamisjärjestelmä
ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta
tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettu
organisaation liiketoimintatarpeita varten.
Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan.
Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiä
järjestelmiä tietoturvallisuuden hallintaa varten.
14
3777/2.11.2010/jan
15. From a business Promotion
establishment and support:
* Standardization
to satisfying AN ORGANIZATION
•Political impact
•Regulation
requirements •Juridical practices
* Consultancy
Business activities: * etc.
-Operational duties-
-Strategic development-
Management
and
Management system
Owner
Action plans Infrastructure
Strategies
Vision
Mission
Values
and
(Business creator), apprecia-
Policies
Stakeholders,
needs and
Competitors
Purpose expectations:
tions * Products
* Price and cost
15 Profound knowledge: Business management sciences and experiences +
3749/25.10.2010/jan
Expertises in quality, information security, environmental protection, etc.
16. Integration is an urgent necessity
There are lots of different standards for specialized aspects of management systems
– e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc.
The number of standard requirements for management systems is increasing in fields
associated with transportation, societal security, records management, event
management and energy, etc.
There is a very clear urgency and need for harmonization of the related standards.
The practical requirement is that for achieving business efficiency and effectiveness
there should be one and only one management system in all organization; there
should be only one way of governing an organization, not four or five different ways!
Into this one management system, one must fit the element of information security,
quality, environment , etc.
The concept ecosystem is being used already
even in the management system standardization.
Ecosystem = a system formed by the interaction
of a community of organisms with their
16 environment.
3843/30.10.2010/jan
17. Erillisistä hallintajärjestelmistä
järjestelmällisyyteen
Organisatorinen järjestelmällisyys toteutuu liiketoiminnan
rakenteiden ja toiminnan (prosessien) kautta.
17 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen
hallintajärjestelmä on keinotekoinen rajoite ja rasite.
3752/7.11.2010/jan
18. Integrating specialized domains of management
standardization and ensuring natural business diversity
The Finnish model Finance
for integration (MSS) Product General management
Environment
quality system
General
Occupational
management
Ethics responsibilities health and safety
and a business Organizational
system identity & privacy
Social
Security responsibility
Risks
Organizational diversity
18
3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)
19. Common structure and text
for all management system requirements standards
4. Context of the organization 7. Support
4.1 Understanding of the organization 7.1Resources
and its context 7.2 Competence
4.2 Needs and requirements 7.3 Awareness
4.3 Management system and scope 7.4 Communication
5. Leadership 7.4.1 External communication
5.1 General 7.4.2 Internal communication
5.2 Management commitment 7.5 Documented information
5.3 Policy 7.5.1 General
5.4 Organizational roles, 7.5.2 Create and update
responsibilities and authorities 7.5.3 Control of documented
6 Planning Information
6.1 Objectives and plans to achieve 8. Operation
them 8.1 Operational planning and control
6.2 Action to address issues and 9. Performance Evaluation
concerns 9.1 Monitoring and measurement
9.2 Internal Audit
9.3 Management review
10. Improvement
10.1 Nonconformity and corrective action
10.2 Continual improvement
This commom structure describes a general business management structure.
19 All information security aspects must be implemented within this business management structure.
3839/28.10.2010/jan (Ref.: Joint Technical Co-ordination Group (JTCG))
20. Sidosryhmät (asiakkaat) kokevat tietoturvallisuuden
organisaation tuotteiden kautta
Organisaatio: Tuote: Sidosryhmä
Tietoturvallisuus syntyy (asiakas):
johtamisen ja prosessien Tavara
kautta Info
Myönteiset ja
Lasku kielteiset tekijät (*)
----
Johtaminen ----
Ihmispalvelu Valinta
Automaatti-
palvelu
Prosessit
Liitäntäpinta sidosryhmään
Sidosryhmätransaktiot
20 (”totuuden hetket”)
3844/14.10.2010/jan (*) Good-will <=> Bad-will -tasapaino
21. Tietoturvallisuuden hallinta organisaation
strategisessa (1) ja operatiivisessa (2) johtamisessa
(1) Strateginen johtaminen:
– Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä
systeemikokonaisuutena)
– Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle
tietoturvallisuuskysymyksissä
– Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat
lisääntymässä
– Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit
– Muutosjohtaminen, entisestä luopuminen
(2) Operatiivinen johtaminen:
– Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa
– Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti
– Operatiivinen nykyisyysnäkökulma
– Prosessin / projektin sisäinen parantamistoiminta
Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitä
varten on erilaiset menettelyt.
Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työn
tekemiseen kuten myös asiantuntijat.
21
3780/2.11.2010/jan
22. Information security management: Planning, controlling,
and improving the performance of business processes
Performance
(5) New performance A P
planning Good C D
Control with the new limit
A P (4) Breakthrough
C D improvement
(2) Performance control
(3) Small step improvement
”Kaizen”
(1) Performance A P
planning Control limit Prevention C D
Bad Rectifying sporadic
problems
Time
22 Feedback
3766/12.11.2010/jan (Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)
23. Tasapaino prosessien ja struktuurin välillä
Toimivuus Struktuuri #1 Struktuurin tulee palvella
prosesseja (ts. toimintaa).
Ulkopuolisesti pakotettu
Struktuuri #2 struktuuri on haitallinen
Prosessi
(toiminta): organisaation identiteetin
Itsestään kannalta.
syntyvä,
reaali-
aikainen,
aktiivinen,
taitava,
ohjautuva,
oppiva, Tasapaino:
avoin, - Vapaus / ohjaus
elävä Rakenteen - Tietoisuus / ohjeet
jäykkyys - Ihmiset / järjestelmät
Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus
passiivinen, opetettu, pakotettu, suljettu, kuollut
23
360624/10.1.2010/jan
24. Organisaation todellinen ekosysteemi luo
pohjan tietoturvallisuuden toteuttamiselle
Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisuja
tietoturvallisuuden toteuttamisessa ja standardoinnissa:
Epävarmuus ja monikäsitteisyys:
Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja
–ohjautuvissa verkoissa
Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja
Toiminta globaalista ja aluepatrioottista
Toiminnot ja muutokset jatkuvasti nopeutuneet
Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)
Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen
Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut
Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä
asemassa
Transaktiokustannuksilla tärkeä merkitys ja vaikutus
Johdolla ja työntekijöillä alituinen kiire
Varmuus ja ennustettavuus
24
3847/2.11.2010/jan (Refs.:D Zohar, R D Stacey)
25. Problem and challenge of the information security
profession to adapt to the needs of modern society
Changed business environments (whole ecosystems) cannot be avoided:
“No boundaries – The old boundaries have been obliterated. Today’s trends increase
uncertainty, variety, variability, dynamics in all areas of business management.” (*)
Speed
Changes Business
Agility environments Problem, ”Crisis of the
Complexity and society information security
Diversity management”
Networking
Immaterialness Preferred scenario:
Variety - Global adaptation: Evolution
Information toward a synergistic society
security
profession in - Breaktrough transformations
its entirety needed in the information
security profession including
Time the related standardization
25
3641/2.11.2010/jan (*) Ref.: ASQ Future study 2008
26. Tietoturvallisuuden hallinta
ei ole ON / EI asia!
ON (1)
Tieto-
turvallisuus
EI (0)
EI ON
”Tietoturvallisuustemput”
26
1934/30.1.2010/jan
27. Organisaation tietoturvallisuuden hallinnan
suorituskyvyn sumeus (fuzziness)
Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*)
Huipputasoa 1 = täydellinen
yritys
Kypsyyttä
Organisaatiot, joilla on
Kilpailukykyä kolmannen osapuolen
sertifikaatti
Muutostarve?
Miten toteuttaa muutos,
Tehokkuutta prosesseissa ja liiketoimintajärjestelmässä?
Alkua
Tarinaa 0 = täysin kyvytön
organisaatio
0 10 30 40 60 70 90 100
Suorituskyvyn arviointitulos %
(*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaation
toimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksia
27 tietoturvallisuuden kannalta
3688/7.11.2010/jan (*) Ref.: Performance excellence models
28. Haasteena hallintastandardien laadinta ja käyttö
Yhteenveto: Standardoinnin triangelidraama
2. Standardien soveltaminen on
organisaatioiden omalla vastuulla.
- Johtamisjärjestelmiä ei voi
1. Kansainvälinen standardointi on standardoida.
merkittävää kansainvälistä - Kansainvälisiä standardeja pitää
yhteistoimintaa sen ongelmista ymmärtää ja soveltaa itselle
huolimatta ja vaikka sen prosessit ja hyödyllisellä tavalla omassa
-menettelyt kehittyvät tuskastut- johtamisjärjestelmässä.
tavan hitaasti. - Hyödyntämisessä tulee arvostaa
- Standardointitoimintaan ei ole integrointia, innovatiivisuutta ja
nopeasti saatavissa parannusta. herkästi reagoimalla tarpeiden ja
- Yleiset standardit ovat aina odotusten mukaisesti.
puutteellisia. - Näitä varten kuitenkin tarvitaan
- Standardien soveltajalle on tärkeätä tietämistä, osaamista ja uskallusta.
tietää ja ymmärtää, mitä standardoin-
nissa tapahtuu ja miten. Tämä voi
3. Kaupallinen hallintajärjestelmäsertifiointi
toteutua vain osallistumalla.
häiritsee aitoa standardien soveltamista.
28 - Tarvitaan uusia innovatiivisiä keinoja
3845/12.11.2010/jan varmistustoimintaa (assurance) varten.
29. Juhani Anttila, Independent Expert
Independent expert, Venture Knowledgist
• Expertise of more than 40 years in the field of quality and 20 years of information
security
• 35 years at different quality related positions at Telecom Finland and Sonera Corporation
• Several decades’ involvement with international and national standardization of quality,
reliability, information security and telecommunications
• Many years Assembly Representative and Vice President of the European Organization
for Quality (EOQ)
• A founder and developer of the Finnish National Quality Award, Developer and assessor
of the European Quality Award
• International Academician for Quality (Member of the International Academy for Quality)
• Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality
and Productivity Society of Pakistan
• Board member or chairman in some companies
• Expert adviser in several organizations in quality management, dependability
management, information security management, crisis management and social media,
and lecturer in some universities
• Expert in projects in some developing countries
• Contributing by writings, lectures, and speeches globally on five continents
29
3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )