SlideShare a Scribd company logo

Sfs it-2010

Juhani Anttila
Juhani Anttila
Business
1 of 29
Download to read offline
Haasteena hallintastandardien laadinta ja käyttö Juhani Anttila Venture Knowledgist Quality Integration juhani.anttila@telecon.fi , www.QualityIntegration.biz 29.11.2010 These pages are licensed under Creative Commons Nimeä 3.0 lisenssi 1 http://creativecommons.org/licenses/by/3.0/deed.fi Mainitse lähde
Haasteena hallintastandardien laadinta ja käyttö Esityksen pääteemoja: Standardoinnin ja soveltamisen prosessit Vahvuudet ja Käsitteellinen ja heikkoudet rakenteellinen sumeus Integroitu hallinta Järjestelmät ja Strateginen ja järjestelmällisyys operatiivinen johtaminen Prosessit ja struktuurit Toimintaympäristöjen haasteet Arviointi ja suorituskyky Erityisenä fokuksena tietoturvallisuuden hallinnan standardisointi: - kritiikkiä - pelastussanomaa 2 3846/28.10.2010/jan
Standardoinnin “fertiloiva” vaikutus ja organisaatioiden reaalitoiminta Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X Standardoinnin aihealue Aihealueen todellinen käytännön toteutus (Ekosysteemi) Organisaatio A: Toteutuselementit A: Innovaatioprosessi A 3 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B 3484.7.11.2010/jan
Kansainvälisessä standardisoinnissa on vahvuuksia ja heikkouksia • Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laaja yhteishyväksyntä ja levinneisyys. • Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekä epätasainen resurssointi. – Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä. – Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman kehittymistä. • Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts. sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääse standardeihin: – hyväksytään jonkun tekemä teksti – muokataan yhteisesti hyväksyttävä teksti – otetaan mukaan ”kilpailevat” vaihtoehdot – kiistanalaisesta asiasta ei mainita mitään Standardeja soveltavassa organisaatiossa tulee hyödyntää kansainvälisen standardisoinnin vahvuuksia ja tulee korjata ja 4 täydentää standardeihin sisältyviä ongelmia ja puutteita. Standardeissa ei ole mitään esteitä soveltajan innovaatioille. 3842/30.10.2010/jan
Kansainvälinen tietoturvallisuuden hallinnan standardisointi on hyvin hajanaista Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITU Näillä kaikilla on standardeja myös tietoturvallisuuden alueella. ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti (ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät: •ISO/IEC 27000 Information security management systems – Overview and vocabulary •ISO/IEC 27001 Information security management systems requirements •ISO/IEC 27002 Code of practice for information security management •... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti. •ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO Standarditilanne on hyvin 27799), joista vastuu on jollakin muulla komitealla. sekava ja hämmentävä, esim. •ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDn top-down ja bottom-up eivät tietojärjestelmien ja -verkkojen turvallisuusohjeeseen. kohtaa. Olisi välttämätöntä jämäkkä ISO/IEC 27000- •On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm. perhesuunnittelu. ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll, FISMA, HIPAA, GLBA, NIST, jne. Päävastuu soveltamisesta •ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihin lankeaa aina yksittäisille organisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm. soveltaja-organisaatioille, ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitä joiden on monesti vaikea 5 standardeja on tarpeen soveltaa samanaikaisesti. ymmärtää sekavaa tilannetta. 3841/4.11.2010/jan
Standardiaiheista käydään laajaa julkista keskustelua mm. sosiaalisen median piirissä, esim. LinkedIn Risk managers (14261) ISO/IEC 27000 for information security management (5181) Governance, risk and compliance management (11611) Information security community (70132) BS25999 Business continuity management system (438) IT governance (12559) Keskusteluista käy ilmi, että Information security standards (728) osallistujilla on hyvin erilaisia näkemyksiä jopa aivan perus- 6 käsitteistä ja -kysymyksistä. 3840/2.11.2010/jan
Tietoturvallisuus on käsitekokonaisuutena vaikea ja monitulkintainen aihealue Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja • Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden • Saatavuus, availability välisten suhteiden epäselvyys • Luottamuksellisuus, confidentiality haittaavat niiden tehokasta Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista. • Aitous, authenticity Epäselvyyttä aiheutuu myös käsitteiden safety (turva) ja Koko tietoturvallisuusajattelun peruskäsitteinä, security (turvallisuus) “arkkityyppeinä”, ovat epäjohdonmukaisesta • Identiteetti , identity käytöstä. • Yksityisyys, privacy Huom: Securityn alkuperäinen Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty. merkitys tarkoittaa huoletonta Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA, olotilaa ja toimintaa: Latinan mikä ei kuitenkaan mitenkään avaa käsitteiden välisiä sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) sidoksia. huoli + -us adjektiivi suffix. 7 1923/11.11.2010/jan
Basic terms and definitions are not considered consistently or logically in the ISO/IEC 27000 standards. • Definition of information security: “Preservation of confidentiality, integrity and availability of information, and ... other properties can also be involved”  This not any proper definition. It is only an open list of issues.  The definition is reactive and preventing (preservation/protection) negations, not promoting proactively positive aspects. Ref.: information security <=> knowledge management  The definition should be consistent with the concepts of information, knowledge and security. • The concept information security management (ISM) has not been defined at all in the ISM standards. • The concept information security assurance (ISA) and its relationship with ISM are unclear. • ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusion among standards users because the relationships among the key managerial concepts are not clear:  Organization/business management, corporate governance, IT governance (ITG), corporate governance of IT, information security management (ISM), information security governance (ISG), and information security assurance (ISA). These are used in many documents. Business people should be able to deal with the concepts consistently and effectively in practice. 8 3765/12.11.2010/jan
Tietoturvallisuuden hallinta ja tietoturvallisuuden varmistus Tietoturvallisuuden ISO/IEC27001 hallinta (*), on osa ISO/IEC27002 ISO/IEC27002:a Standardisointikomiteassa ISO/IEC JTC1 SC 27 on Tietoturvallisuuden edelleenkin standardien varmistus (**), ISO/IEC27001 ja ISO/IEC27002 ISO/IEC27001 välinen suhde epäselvä. Myöskään tietoturvallisuuden hallinnan yleisistä periaatteista Tietoturvallisuuden hallinnan periaatteet ei ole yhteisymmärrystä. (*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus (**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus 9 3665/3.11.2010/jan
Käytännössä tietoturvallisuuden tehokas hallinta on organisaation johtamista Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia organisaation liiketoiminnan johtamiseen:  Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.  Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa. Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua asianmukaisesti eikä vaikuttavasti tai tehokkaasti. 10 3776/3.11.2010/jan
Major challenges for the information security management 1. Integration: – Implementing effective / efficient and business-relevant Information security management  information security principles and methodology embedded within organization’s normal activities of information security within strategic and operational management management 2. Responsiveness: – Being able to adjust quickly to suddenly altered Stiff solutions  external conditions and business environments, and to Dynamic and flexible resume stable operation without undue delay business realization 3. Innovation: – Striving continuously for new organization-dedicated Standard approach  innovative and unique solutions and encouraging An organization’s unique various choices for information security management approach in different organizations. 11 3784/2.11.2010/jan
Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin? 12 2902/2.10.2004/jan
System concept System (*) is a set of interrelated or interacting elements A system’s Management (processes). creators and owners - A system is an entity that maintains its existence and functions as a whole through the interaction of its parts. - A system has always an aim or purpose defined by the A system system’s creators or owners. The system is just created (and its elements) to accomplish its aim. - A system has interactions and transactions with its environment to get input from and to provide output for Inputs and outputs through system’s stakeholders. Stakeholders may set interactions and transactions requirements to the system. - A system is managed as a whole. Management is based System environment, on knowledge and information and PDCA management Needs and expectations (requirements) model (feedback). (Stakeholders and system-competitors) An organization is a system. System management domain System requirements Internal interest External interest 13 Effectiveness and efficiency Effectiveness (Ref. Russell's paradox) 3732/20.1.2010/jan (*) Ref. ISO 9000 definition
Tietoturvallisuuden hallintajärjestelmä, Information security management system (ISMS), Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu kahdesta osasta: 1. Organisaation johtamisjärjestelmä (management system, MS): - Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden saavuttamiseen käytettävä järjestelmä 2. Tietoturvallisuus (information security, IS): - Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä ISMS =/= Tietoturvallisuuden johtamisjärjestelmä ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettu organisaation liiketoimintatarpeita varten. Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan. Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiä järjestelmiä tietoturvallisuuden hallintaa varten. 14 3777/2.11.2010/jan
From a business Promotion establishment and support: * Standardization to satisfying AN ORGANIZATION •Political impact •Regulation requirements •Juridical practices * Consultancy Business activities: * etc. -Operational duties- -Strategic development- Management and Management system  Owner Action plans Infrastructure Strategies Vision Mission Values and (Business creator), apprecia- Policies Stakeholders, needs and Competitors Purpose expectations: tions * Products * Price and cost 15 Profound knowledge: Business management sciences and experiences + 3749/25.10.2010/jan Expertises in quality, information security, environmental protection, etc.
Integration is an urgent necessity There are lots of different standards for specialized aspects of management systems – e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc. The number of standard requirements for management systems is increasing in fields associated with transportation, societal security, records management, event management and energy, etc. There is a very clear urgency and need for harmonization of the related standards. The practical requirement is that for achieving business efficiency and effectiveness there should be one and only one management system in all organization; there should be only one way of governing an organization, not four or five different ways! Into this one management system, one must fit the element of information security, quality, environment , etc. The concept ecosystem is being used already even in the management system standardization. Ecosystem = a system formed by the interaction of a community of organisms with their 16 environment. 3843/30.10.2010/jan
Erillisistä hallintajärjestelmistä järjestelmällisyyteen Organisatorinen järjestelmällisyys toteutuu liiketoiminnan rakenteiden ja toiminnan (prosessien) kautta. 17 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen hallintajärjestelmä on keinotekoinen rajoite ja rasite. 3752/7.11.2010/jan
Integrating specialized domains of management standardization and ensuring natural business diversity The Finnish model Finance for integration (MSS) Product General management Environment quality system General Occupational management Ethics responsibilities health and safety and a business Organizational system identity & privacy Social Security responsibility Risks Organizational diversity 18 3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)
Common structure and text for all management system requirements standards 4. Context of the organization 7. Support 4.1 Understanding of the organization 7.1Resources and its context 7.2 Competence 4.2 Needs and requirements 7.3 Awareness 4.3 Management system and scope 7.4 Communication 5. Leadership 7.4.1 External communication 5.1 General 7.4.2 Internal communication 5.2 Management commitment 7.5 Documented information 5.3 Policy 7.5.1 General 5.4 Organizational roles, 7.5.2 Create and update responsibilities and authorities 7.5.3 Control of documented 6 Planning Information 6.1 Objectives and plans to achieve 8. Operation them 8.1 Operational planning and control 6.2 Action to address issues and 9. Performance Evaluation concerns 9.1 Monitoring and measurement 9.2 Internal Audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement This commom structure describes a general business management structure. 19 All information security aspects must be implemented within this business management structure. 3839/28.10.2010/jan (Ref.: Joint Technical Co-ordination Group (JTCG))
Sidosryhmät (asiakkaat) kokevat tietoturvallisuuden organisaation tuotteiden kautta Organisaatio: Tuote: Sidosryhmä Tietoturvallisuus syntyy (asiakas): johtamisen ja prosessien Tavara kautta Info Myönteiset ja Lasku kielteiset tekijät (*) ---- Johtaminen ---- Ihmispalvelu Valinta Automaatti- palvelu Prosessit Liitäntäpinta sidosryhmään Sidosryhmätransaktiot 20 (”totuuden hetket”) 3844/14.10.2010/jan (*) Good-will <=> Bad-will -tasapaino
Tietoturvallisuuden hallinta organisaation strategisessa (1) ja operatiivisessa (2) johtamisessa (1) Strateginen johtaminen: – Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä systeemikokonaisuutena) – Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle tietoturvallisuuskysymyksissä – Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat lisääntymässä – Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit – Muutosjohtaminen, entisestä luopuminen (2) Operatiivinen johtaminen: – Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa – Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti – Operatiivinen nykyisyysnäkökulma – Prosessin / projektin sisäinen parantamistoiminta Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitä varten on erilaiset menettelyt. Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työn tekemiseen kuten myös asiantuntijat. 21 3780/2.11.2010/jan
Information security management: Planning, controlling, and improving the performance of business processes Performance (5) New performance A P planning Good C D Control with the new limit A P (4) Breakthrough C D improvement (2) Performance control (3) Small step improvement ”Kaizen” (1) Performance A P planning Control limit Prevention C D Bad Rectifying sporadic problems Time 22 Feedback 3766/12.11.2010/jan (Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)
Tasapaino prosessien ja struktuurin välillä Toimivuus Struktuuri #1 Struktuurin tulee palvella prosesseja (ts. toimintaa). Ulkopuolisesti pakotettu Struktuuri #2 struktuuri on haitallinen Prosessi (toiminta): organisaation identiteetin Itsestään kannalta. syntyvä, reaali- aikainen, aktiivinen, taitava, ohjautuva, oppiva, Tasapaino: avoin, - Vapaus / ohjaus elävä Rakenteen - Tietoisuus / ohjeet jäykkyys - Ihmiset / järjestelmät Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus passiivinen, opetettu, pakotettu, suljettu, kuollut 23 360624/10.1.2010/jan
Organisaation todellinen ekosysteemi luo pohjan tietoturvallisuuden toteuttamiselle Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisuja tietoturvallisuuden toteuttamisessa ja standardoinnissa: Epävarmuus ja monikäsitteisyys:  Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja –ohjautuvissa verkoissa  Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja  Toiminta globaalista ja aluepatrioottista  Toiminnot ja muutokset jatkuvasti nopeutuneet  Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)  Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen  Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut  Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä asemassa  Transaktiokustannuksilla tärkeä merkitys ja vaikutus  Johdolla ja työntekijöillä alituinen kiire Varmuus ja ennustettavuus 24 3847/2.11.2010/jan (Refs.:D Zohar, R D Stacey)
Problem and challenge of the information security profession to adapt to the needs of modern society Changed business environments (whole ecosystems) cannot be avoided: “No boundaries – The old boundaries have been obliterated. Today’s trends increase uncertainty, variety, variability, dynamics in all areas of business management.” (*) Speed Changes Business Agility environments Problem, ”Crisis of the Complexity and society information security Diversity management” Networking Immaterialness Preferred scenario: Variety - Global adaptation: Evolution Information toward a synergistic society security profession in - Breaktrough transformations its entirety needed in the information security profession including Time the related standardization 25 3641/2.11.2010/jan (*) Ref.: ASQ Future study 2008
Tietoturvallisuuden hallinta ei ole ON / EI asia! ON (1) Tieto- turvallisuus EI (0) EI ON ”Tietoturvallisuustemput” 26 1934/30.1.2010/jan
Organisaation tietoturvallisuuden hallinnan suorituskyvyn sumeus (fuzziness) Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*) Huipputasoa 1 = täydellinen yritys Kypsyyttä Organisaatiot, joilla on Kilpailukykyä kolmannen osapuolen sertifikaatti Muutostarve? Miten toteuttaa muutos, Tehokkuutta prosesseissa ja liiketoimintajärjestelmässä? Alkua Tarinaa 0 = täysin kyvytön organisaatio 0 10 30 40 60 70 90 100 Suorituskyvyn arviointitulos % (*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaation toimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksia 27 tietoturvallisuuden kannalta 3688/7.11.2010/jan (*) Ref.: Performance excellence models
Haasteena hallintastandardien laadinta ja käyttö Yhteenveto: Standardoinnin triangelidraama 2. Standardien soveltaminen on organisaatioiden omalla vastuulla. - Johtamisjärjestelmiä ei voi 1. Kansainvälinen standardointi on standardoida. merkittävää kansainvälistä - Kansainvälisiä standardeja pitää yhteistoimintaa sen ongelmista ymmärtää ja soveltaa itselle huolimatta ja vaikka sen prosessit ja hyödyllisellä tavalla omassa -menettelyt kehittyvät tuskastut- johtamisjärjestelmässä. tavan hitaasti. - Hyödyntämisessä tulee arvostaa - Standardointitoimintaan ei ole integrointia, innovatiivisuutta ja nopeasti saatavissa parannusta. herkästi reagoimalla tarpeiden ja - Yleiset standardit ovat aina odotusten mukaisesti. puutteellisia. - Näitä varten kuitenkin tarvitaan - Standardien soveltajalle on tärkeätä tietämistä, osaamista ja uskallusta. tietää ja ymmärtää, mitä standardoin- nissa tapahtuu ja miten. Tämä voi 3. Kaupallinen hallintajärjestelmäsertifiointi toteutua vain osallistumalla. häiritsee aitoa standardien soveltamista. 28 - Tarvitaan uusia innovatiivisiä keinoja 3845/12.11.2010/jan varmistustoimintaa (assurance) varten.
Juhani Anttila, Independent Expert Independent expert, Venture Knowledgist • Expertise of more than 40 years in the field of quality and 20 years of information security • 35 years at different quality related positions at Telecom Finland and Sonera Corporation • Several decades’ involvement with international and national standardization of quality, reliability, information security and telecommunications • Many years Assembly Representative and Vice President of the European Organization for Quality (EOQ) • A founder and developer of the Finnish National Quality Award, Developer and assessor of the European Quality Award • International Academician for Quality (Member of the International Academy for Quality) • Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality and Productivity Society of Pakistan • Board member or chairman in some companies • Expert adviser in several organizations in quality management, dependability management, information security management, crisis management and social media, and lecturer in some universities • Expert in projects in some developing countries • Contributing by writings, lectures, and speeches globally on five continents 29 3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )

Recommended

Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010Juhani Anttila
 
Esitys+l klle
Esitys+l klleEsitys+l klle
Esitys+l klleMatti Leskinen
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaPete Nieminen
 
IdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriIdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriHannu Kasanen
 
Bagung resume'
Bagung resume'Bagung resume'
Bagung resume'gladysshen
 
Resume Primary
Resume PrimaryResume Primary
Resume PrimaryArvin Caya
 
Cv resume sample for fresh graduate of office administration
Cv resume sample for fresh graduate of office administrationCv resume sample for fresh graduate of office administration
Cv resume sample for fresh graduate of office administrationHọc Huỳnh Bá
 
Dana resume1
Dana resume1Dana resume1
Dana resume1Ma.Danna Inigo
 

Recommended

Kajaani2010
Kajaani2010Kajaani2010
Kajaani2010Juhani Anttila
 
Esitys+l klle
Esitys+l klleEsitys+l klle
Esitys+l klleMatti Leskinen
 
Tietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaTietoturva tuottavuuden tukena
Tietoturva tuottavuuden tukenaPete Nieminen
 
IdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriIdM-referenssiarkkitehtuuri
IdM-referenssiarkkitehtuuriHannu Kasanen
 
Bagung resume'
Bagung resume'Bagung resume'
Bagung resume'gladysshen
 
Resume Primary
Resume PrimaryResume Primary
Resume PrimaryArvin Caya
 
Cv resume sample for fresh graduate of office administration
Cv resume sample for fresh graduate of office administrationCv resume sample for fresh graduate of office administration
Cv resume sample for fresh graduate of office administrationHọc Huỳnh Bá
 
Dana resume1
Dana resume1Dana resume1
Dana resume1Ma.Danna Inigo
 
Laadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseenLaadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseenJuhani Anttila
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! TimoAro
 
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseenSastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseenJuhani Anttila
 
Yritysidentiteetti ja standardit
Yritysidentiteetti ja standarditYritysidentiteetti ja standardit
Yritysidentiteetti ja standarditJuhani Anttila
 
Laatuseniorit Suomen laadusta
Laatuseniorit Suomen laadustaLaatuseniorit Suomen laadusta
Laatuseniorit Suomen laadustaJuhani Anttila
 
Tietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehyksetTietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehyksetTommi Karttaavi
 
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseTalent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseLoihde Advisory
 
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...HenryHaverinen1
 
2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalut2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalutSpartaConsulting
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksistaTietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksistaKiwa Inspecta Suomi
 
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...Paivi Sutinen
 
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskeroAvoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskeroFloApps
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Juha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusJuha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusTHL
 
Alasoini inno-vointi-100128
Alasoini inno-vointi-100128Alasoini inno-vointi-100128
Alasoini inno-vointi-100128Sitra / Uusi johtajuus
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Valtiokonttori / Statskontoret / State Treasury of Finland
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Kiwa Inspecta Suomi
 
Suorituskyvyn johtaminen
Suorituskyvyn johtaminenSuorituskyvyn johtaminen
Suorituskyvyn johtaminenMika Aho
 
Chelyabinsk2016 anttila
Chelyabinsk2016 anttilaChelyabinsk2016 anttila
Chelyabinsk2016 anttilaJuhani Anttila
 
Budapest iso9001 2015
Budapest iso9001 2015Budapest iso9001 2015
Budapest iso9001 2015Juhani Anttila
 

More Related Content

Similar to Sfs it-2010

Laadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseenLaadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseenJuhani Anttila
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! TimoAro
 
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseenSastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseenJuhani Anttila
 
Yritysidentiteetti ja standardit
Yritysidentiteetti ja standarditYritysidentiteetti ja standardit
Yritysidentiteetti ja standarditJuhani Anttila
 
Laatuseniorit Suomen laadusta
Laatuseniorit Suomen laadustaLaatuseniorit Suomen laadusta
Laatuseniorit Suomen laadustaJuhani Anttila
 
Tietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehyksetTietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehyksetTommi Karttaavi
 
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseTalent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseLoihde Advisory
 
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...HenryHaverinen1
 
2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalut2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalutSpartaConsulting
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudTomppa Järvinen
 
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksistaTietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksistaKiwa Inspecta Suomi
 
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...Paivi Sutinen
 
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskeroAvoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskeroFloApps
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaTomppa Järvinen
 
Juha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusJuha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusTHL
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Kiwa Inspecta Suomi
 
Suorituskyvyn johtaminen
Suorituskyvyn johtaminenSuorituskyvyn johtaminen
Suorituskyvyn johtaminenMika Aho
 

Similar to Sfs it-2010 (20)

Laadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseenLaadunhallinnasta laadukkaaseen johtamiseen
Laadunhallinnasta laadukkaaseen johtamiseen
 
Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus! Yhteistyöllä luodaan tulevaisuus!
Yhteistyöllä luodaan tulevaisuus!
 
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseenSastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
Sastamala 2009: Laadunhallinnasta laadukkaaseen johtamiseen
 
Yritysidentiteetti ja standardit
Yritysidentiteetti ja standarditYritysidentiteetti ja standardit
Yritysidentiteetti ja standardit
 
Laatuseniorit Suomen laadusta
Laatuseniorit Suomen laadustaLaatuseniorit Suomen laadusta
Laatuseniorit Suomen laadusta
 
Tietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehyksetTietohallinnon johtamisen ja suunnittelun viitekehykset
Tietohallinnon johtamisen ja suunnittelun viitekehykset
 
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyseTalent Base: Master Data Management (MDM) - mistä siinä on kyse
Talent Base: Master Data Management (MDM) - mistä siinä on kyse
 
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
Henry Haverisen esitys Suomen Automaatioseuran kyberturvallisuuswebinaarissa ...
 
2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalut2. Informaatiohallinnan perustyökalut
2. Informaatiohallinnan perustyökalut
 
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public CloudPilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
Pilvipalvelut Hallitusti käyttöön SaaS & Public Cloud
 
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksistaTietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
Tietoisku ISO 14001:n ja OHSAS 18001:n tulevista muutoksista
 
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
Kunnan palvelujen ja prosessien kehittämisen yhteys tietoon ja tietijärjestel...
 
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskeroAvoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
Avoin tieto laadukkaaksi_talent_base_oy_nino_ilveskero
 
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
Mystes Integraatioaamupala - Ratkaisuja järjestelmäintegrointien tyypillisiin...
 
Pilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmastaPilvipalveluhanke tietoturvan nakokulmasta
Pilvipalveluhanke tietoturvan nakokulmasta
 
Juha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, YhteentoimivuusJuha Mykkänen, THL, Yhteentoimivuus
Juha Mykkänen, THL, Yhteentoimivuus
 
Alasoini inno-vointi-100128
Alasoini inno-vointi-100128Alasoini inno-vointi-100128
Alasoini inno-vointi-100128
 
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
Kimmo Rousku: Laadun kaava: riskienhallinta + tietoturvallisuus + varautumine...
 
Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015Arviointipalvelut - Inspectan Tietopäivä 2015
Arviointipalvelut - Inspectan Tietopäivä 2015
 
Suorituskyvyn johtaminen
Suorituskyvyn johtaminenSuorituskyvyn johtaminen
Suorituskyvyn johtaminen
 

More from Juhani Anttila

Chelyabinsk2016 anttila
Chelyabinsk2016 anttilaChelyabinsk2016 anttila
Chelyabinsk2016 anttilaJuhani Anttila
 
Laatu seniorit2015 elinikäinen oppiminen
Laatu seniorit2015 elinikäinen oppiminenLaatu seniorit2015 elinikäinen oppiminen
Laatu seniorit2015 elinikäinen oppiminenJuhani Anttila
 
Laatuseniorit tuotelaatu part two
Laatuseniorit tuotelaatu part twoLaatuseniorit tuotelaatu part two
Laatuseniorit tuotelaatu part twoJuhani Anttila
 
Laatuseniorit tuotelaatu part one
Laatuseniorit tuotelaatu part oneLaatuseniorit tuotelaatu part one
Laatuseniorit tuotelaatu part oneJuhani Anttila
 
Icqi 2014 pakistan ( 2 )
Icqi 2014 pakistan ( 2 )Icqi 2014 pakistan ( 2 )
Icqi 2014 pakistan ( 2 )Juhani Anttila
 
Mohammedia2013 anttila
Mohammedia2013 anttilaMohammedia2013 anttila
Mohammedia2013 anttilaJuhani Anttila
 
ASQ laatututkimus – juhanin kommentteja
ASQ laatututkimus – juhanin kommenttejaASQ laatututkimus – juhanin kommentteja
ASQ laatututkimus – juhanin kommenttejaJuhani Anttila
 
Syvien vahvuuksien koulu hexagrammit
Syvien vahvuuksien koulu hexagrammitSyvien vahvuuksien koulu hexagrammit
Syvien vahvuuksien koulu hexagrammitJuhani Anttila
 
Syvien vahvuuksien koulu arviointi 2013
Syvien vahvuuksien koulu arviointi 2013Syvien vahvuuksien koulu arviointi 2013
Syvien vahvuuksien koulu arviointi 2013Juhani Anttila
 
Syvien vahvuuksien koulu laatu 2013
Syvien vahvuuksien koulu laatu 2013Syvien vahvuuksien koulu laatu 2013
Syvien vahvuuksien koulu laatu 2013Juhani Anttila
 
Tallinn helsinki eoq2013
Tallinn helsinki eoq2013Tallinn helsinki eoq2013
Tallinn helsinki eoq2013Juhani Anttila
 
Laatu seniorit2013 prosessien hallinta
Laatu seniorit2013 prosessien hallintaLaatu seniorit2013 prosessien hallinta
Laatu seniorit2013 prosessien hallintaJuhani Anttila
 

More from Juhani Anttila (20)

Chelyabinsk2016 anttila
Chelyabinsk2016 anttilaChelyabinsk2016 anttila
Chelyabinsk2016 anttila
 
Budapest iso9001 2015
Budapest iso9001 2015Budapest iso9001 2015
Budapest iso9001 2015
 
Laatu seniorit2015 elinikäinen oppiminen
Laatu seniorit2015 elinikäinen oppiminenLaatu seniorit2015 elinikäinen oppiminen
Laatu seniorit2015 elinikäinen oppiminen
 
Ulyanovsk2014 anttila
Ulyanovsk2014 anttilaUlyanovsk2014 anttila
Ulyanovsk2014 anttila
 
Laatuseniorit tuotelaatu part two
Laatuseniorit tuotelaatu part twoLaatuseniorit tuotelaatu part two
Laatuseniorit tuotelaatu part two
 
Iso9001 2015 needs
Iso9001 2015 needsIso9001 2015 needs
Iso9001 2015 needs
 
Laatuseniorit tuotelaatu part one
Laatuseniorit tuotelaatu part oneLaatuseniorit tuotelaatu part one
Laatuseniorit tuotelaatu part one
 
Icqi 2014 pakistan ( 2 )
Icqi 2014 pakistan ( 2 )Icqi 2014 pakistan ( 2 )
Icqi 2014 pakistan ( 2 )
 
Quality integration
Quality integrationQuality integration
Quality integration
 
Mohammedia2013 anttila
Mohammedia2013 anttilaMohammedia2013 anttila
Mohammedia2013 anttila
 
3952x
3952x3952x
3952x
 
ASQ laatututkimus – juhanin kommentteja
ASQ laatututkimus – juhanin kommenttejaASQ laatututkimus – juhanin kommentteja
ASQ laatututkimus – juhanin kommentteja
 
Syvien vahvuuksien koulu hexagrammit
Syvien vahvuuksien koulu hexagrammitSyvien vahvuuksien koulu hexagrammit
Syvien vahvuuksien koulu hexagrammit
 
Syvien vahvuuksien koulu arviointi 2013
Syvien vahvuuksien koulu arviointi 2013Syvien vahvuuksien koulu arviointi 2013
Syvien vahvuuksien koulu arviointi 2013
 
Syvien vahvuuksien koulu laatu 2013
Syvien vahvuuksien koulu laatu 2013Syvien vahvuuksien koulu laatu 2013
Syvien vahvuuksien koulu laatu 2013
 
3732x
3732x3732x
3732x
 
Tallinn helsinki eoq2013
Tallinn helsinki eoq2013Tallinn helsinki eoq2013
Tallinn helsinki eoq2013
 
Tallinn eoq2013
Tallinn eoq2013Tallinn eoq2013
Tallinn eoq2013
 
Laatu seniorit2013 prosessien hallinta
Laatu seniorit2013 prosessien hallintaLaatu seniorit2013 prosessien hallinta
Laatu seniorit2013 prosessien hallinta
 
Rovinj2013
Rovinj2013Rovinj2013
Rovinj2013
 

Sfs it-2010

  • 1. Haasteena hallintastandardien laadinta ja käyttö Juhani Anttila Venture Knowledgist Quality Integration juhani.anttila@telecon.fi , www.QualityIntegration.biz 29.11.2010 These pages are licensed under Creative Commons Nimeä 3.0 lisenssi 1 http://creativecommons.org/licenses/by/3.0/deed.fi Mainitse lähde
  • 2. Haasteena hallintastandardien laadinta ja käyttö Esityksen pääteemoja: Standardoinnin ja soveltamisen prosessit Vahvuudet ja Käsitteellinen ja heikkoudet rakenteellinen sumeus Integroitu hallinta Järjestelmät ja Strateginen ja järjestelmällisyys operatiivinen johtaminen Prosessit ja struktuurit Toimintaympäristöjen haasteet Arviointi ja suorituskyky Erityisenä fokuksena tietoturvallisuuden hallinnan standardisointi: - kritiikkiä - pelastussanomaa 2 3846/28.10.2010/jan
  • 3. Standardoinnin “fertiloiva” vaikutus ja organisaatioiden reaalitoiminta Standardointi Y: Aihealue Y / Standardielementit Y / Konsensusprosessi Y Standardointi X: Aihealue X / Standardielementit X / Konsensusprosessi X Standardoinnin aihealue Aihealueen todellinen käytännön toteutus (Ekosysteemi) Organisaatio A: Toteutuselementit A: Innovaatioprosessi A 3 Organisaatio B: Toteutuselementit B: Innovaatioprosessi B 3484.7.11.2010/jan
  • 4. Kansainvälisessä standardisoinnissa on vahvuuksia ja heikkouksia • Laajalla, arvostetulla ja järjestelmällisellä yhteistoiminnalla standardeille saadaan laaja yhteishyväksyntä ja levinneisyys. • Vapaaehtoisuuteen perustuvassa työssä on heikko johto ja sitoutuminen sekä epätasainen resurssointi. – Asioista on myös standardien laatijoiden piirissä hyvin monenlaisia näkemyksiä. – Asiat edistyvät hitaasti eivätkä koskaan pysty seuraamaan reaalimaailman kehittymistä. • Konsensusprosessin keinot saavat aikaan, että”tyhmyys tiivistyy joukossa”, ts. sisällöllisesti standardit ovat hajanaisia eivätkä ylivoimaiset ajatukset pääse standardeihin: – hyväksytään jonkun tekemä teksti – muokataan yhteisesti hyväksyttävä teksti – otetaan mukaan ”kilpailevat” vaihtoehdot – kiistanalaisesta asiasta ei mainita mitään Standardeja soveltavassa organisaatiossa tulee hyödyntää kansainvälisen standardisoinnin vahvuuksia ja tulee korjata ja 4 täydentää standardeihin sisältyviä ongelmia ja puutteita. Standardeissa ei ole mitään esteitä soveltajan innovaatioille. 3842/30.10.2010/jan
  • 5. Kansainvälinen tietoturvallisuuden hallinnan standardisointi on hyvin hajanaista Kaikki yleinen kansainvälinen standardointi tapahtuu kolmen organisaation toimesta: ISO, IEC ja ITU Näillä kaikilla on standardeja myös tietoturvallisuuden alueella. ISO/IEC 27000: Tietoturvallisuuden hallinnan standardiperhe laajenee ja uudistuu jatkuvasti (ISO/IEC JTC1/SC 27 WG 1). Eri standardien väliset yhteydet ovat vähintäänkin epäselvät: •ISO/IEC 27000 Information security management systems – Overview and vocabulary •ISO/IEC 27001 Information security management systems requirements •ISO/IEC 27002 Code of practice for information security management •... jne. numeroituja standardeja tai luonnoksia (ainakin) 27037 asti. •ISO/IEC 27000 -perheeseen sisältyy myös standardeja (esim. ISO Standarditilanne on hyvin 27799), joista vastuu on jollakin muulla komitealla. sekava ja hämmentävä, esim. •ISO/IEC 27000-perusstandardeilla on yhteydet myös OECDn top-down ja bottom-up eivät tietojärjestelmien ja -verkkojen turvallisuusohjeeseen. kohtaa. Olisi välttämätöntä jämäkkä ISO/IEC 27000- •On paljon ISO/IEC 27000 -standardiaiheita käsitteleviä aineistoja, mm. perhesuunnittelu. ISO 31000, ISO/IEC 20000, ITIL , COBIT, Sarbanes-Oxley Act, Basel ll, FISMA, HIPAA, GLBA, NIST, jne. Päävastuu soveltamisesta •ISO/IEC 27000 -standardeilla on monimutkaiset yhteydet muihin lankeaa aina yksittäisille organisaatioiden johtamisjärjestelmiä käsitteleviin standardeihin, mm. soveltaja-organisaatioille, ISO 9000, laadukkaan johtamisen standardit. Organisaatioissa näitä joiden on monesti vaikea 5 standardeja on tarpeen soveltaa samanaikaisesti. ymmärtää sekavaa tilannetta. 3841/4.11.2010/jan
  • 6. Standardiaiheista käydään laajaa julkista keskustelua mm. sosiaalisen median piirissä, esim. LinkedIn Risk managers (14261) ISO/IEC 27000 for information security management (5181) Governance, risk and compliance management (11611) Information security community (70132) BS25999 Business continuity management system (438) IT governance (12559) Keskusteluista käy ilmi, että Information security standards (728) osallistujilla on hyvin erilaisia näkemyksiä jopa aivan perus- 6 käsitteistä ja -kysymyksistä. 3840/2.11.2010/jan
  • 7. Tietoturvallisuus on käsitekokonaisuutena vaikea ja monitulkintainen aihealue Tietoturvallisuuden tavoitteena on tiedon: Peruskäsitteiden vaikeus ja • Virheettömyys (eheys), integrity monitulkintaisuus sekä niiden • Saatavuus, availability välisten suhteiden epäselvyys • Luottamuksellisuus, confidentiality haittaavat niiden tehokasta Lisäksi näiden yhteydessä tuodaan esille myös: käytännön toteutumista. • Aitous, authenticity Epäselvyyttä aiheutuu myös käsitteiden safety (turva) ja Koko tietoturvallisuusajattelun peruskäsitteinä, security (turvallisuus) “arkkityyppeinä”, ovat epäjohdonmukaisesta • Identiteetti , identity käytöstä. • Yksityisyys, privacy Huom: Securityn alkuperäinen Käsitteiden välisiä suhteita ei ole standardeissa selkeytetty. merkitys tarkoittaa huoletonta Kaikkiin näihin joskus viitataan yhteisesti ilmaisulla CIAPIA, olotilaa ja toimintaa: Latinan mikä ei kuitenkaan mitenkään avaa käsitteiden välisiä sēcūrus huoleton = sē- (prefix) ilman, erossa + cūr(a) sidoksia. huoli + -us adjektiivi suffix. 7 1923/11.11.2010/jan
  • 8. Basic terms and definitions are not considered consistently or logically in the ISO/IEC 27000 standards. • Definition of information security: “Preservation of confidentiality, integrity and availability of information, and ... other properties can also be involved”  This not any proper definition. It is only an open list of issues.  The definition is reactive and preventing (preservation/protection) negations, not promoting proactively positive aspects. Ref.: information security <=> knowledge management  The definition should be consistent with the concepts of information, knowledge and security. • The concept information security management (ISM) has not been defined at all in the ISM standards. • The concept information security assurance (ISA) and its relationship with ISM are unclear. • ISO/IEC JTC1/SC27 has started to consider the governance. This is causing confusion among standards users because the relationships among the key managerial concepts are not clear:  Organization/business management, corporate governance, IT governance (ITG), corporate governance of IT, information security management (ISM), information security governance (ISG), and information security assurance (ISA). These are used in many documents. Business people should be able to deal with the concepts consistently and effectively in practice. 8 3765/12.11.2010/jan
  • 9. Tietoturvallisuuden hallinta ja tietoturvallisuuden varmistus Tietoturvallisuuden ISO/IEC27001 hallinta (*), on osa ISO/IEC27002 ISO/IEC27002:a Standardisointikomiteassa ISO/IEC JTC1 SC 27 on Tietoturvallisuuden edelleenkin standardien varmistus (**), ISO/IEC27001 ja ISO/IEC27002 ISO/IEC27001 välinen suhde epäselvä. Myöskään tietoturvallisuuden hallinnan yleisistä periaatteista Tietoturvallisuuden hallinnan periaatteet ei ole yhteisymmärrystä. (*) Tieturvallisuuden hallinnan tavoitteena on organisaation suorituskyvyn ylivertaisuus (**) Tietoturvallisuuden varmistuksen tavoiteena on sidosryhmien luottamus 9 3665/3.11.2010/jan
  • 10. Käytännössä tietoturvallisuuden tehokas hallinta on organisaation johtamista Tietoturvallisuuden hallinta: Koordinoidut toimenpiteet organisaation suuntaamiseksi ja ohjaamiseksi tietoturvallisuuteen liittyvissä asioissa Huom: Tietoturvallisuuden hallinta ei ole tietoturvallisuuden johtamista vaan organisaation johtamista. Tämä tarkoittaa tietoturvallisuuden hallinnan integrointia organisaation liiketoiminnan johtamiseen:  Vastuu tietoturvallisuuden hallinnasta on organisaation liiketoiminnan johdolla.  Asiantuntijoilla on avustava rooli tietoturvallisuuden hallinnassa. Jos organisaation yleinen liiketoiminnallinen johtaminen ei ole hallinnassa, ei myöskään tietoturvallisuuden hallinta voi toteutua asianmukaisesti eikä vaikuttavasti tai tehokkaasti. 10 3776/3.11.2010/jan
  • 11. Major challenges for the information security management 1. Integration: – Implementing effective / efficient and business-relevant Information security management  information security principles and methodology embedded within organization’s normal activities of information security within strategic and operational management management 2. Responsiveness: – Being able to adjust quickly to suddenly altered Stiff solutions  external conditions and business environments, and to Dynamic and flexible resume stable operation without undue delay business realization 3. Innovation: – Striving continuously for new organization-dedicated Standard approach  innovative and unique solutions and encouraging An organization’s unique various choices for information security management approach in different organizations. 11 3784/2.11.2010/jan
  • 12. Organisaatioita ei pidä yrittää sopeuttaa oppeihin tai malleihin. Entä miten päinvastoin? 12 2902/2.10.2004/jan
  • 13. System concept System (*) is a set of interrelated or interacting elements A system’s Management (processes). creators and owners - A system is an entity that maintains its existence and functions as a whole through the interaction of its parts. - A system has always an aim or purpose defined by the A system system’s creators or owners. The system is just created (and its elements) to accomplish its aim. - A system has interactions and transactions with its environment to get input from and to provide output for Inputs and outputs through system’s stakeholders. Stakeholders may set interactions and transactions requirements to the system. - A system is managed as a whole. Management is based System environment, on knowledge and information and PDCA management Needs and expectations (requirements) model (feedback). (Stakeholders and system-competitors) An organization is a system. System management domain System requirements Internal interest External interest 13 Effectiveness and efficiency Effectiveness (Ref. Russell's paradox) 3732/20.1.2010/jan (*) Ref. ISO 9000 definition
  • 14. Tietoturvallisuuden hallintajärjestelmä, Information security management system (ISMS), Alan perusstandardeissa on keskeisenä käsitteenä tietoturvallisuuden hallintajärjestelmä (information security management system, ISMS). Käsite muodostuu kahdesta osasta: 1. Organisaation johtamisjärjestelmä (management system, MS): - Organisaation liiketoimintapolitiikan ja tavoitteiden määrittelyyn, sekä tavoitteiden saavuttamiseen käytettävä järjestelmä 2. Tietoturvallisuus (information security, IS): - Organisaation johtamisjärjestelmää kuvaava atribuutti, joka karakterisoi tietoturvallisuuden huomioon ottamista johtamisjärjetelmässä ISMS =/= Tietoturvallisuuden johtamisjärjestelmä ISMS ei ole käytännössä mikään erillinen järjestelmä, vaan kuvaa systemaattisuutta tietoturvallisuuden toteuttamiseksi organisaation johtamisjärjestelmässä. Se on tarkoitettu organisaation liiketoimintatarpeita varten. Itse asiassa, käsitettä ISMS ei käytännön organisaatiotapauksissa edes ollenkaan tarvitakaan. Se onkin aiheuttanut paljon sekaannuksia, jos organisaatiot ovat rakentaneet itselleen erillisiä järjestelmiä tietoturvallisuuden hallintaa varten. 14 3777/2.11.2010/jan
  • 15. From a business Promotion establishment and support: * Standardization to satisfying AN ORGANIZATION •Political impact •Regulation requirements •Juridical practices * Consultancy Business activities: * etc. -Operational duties- -Strategic development- Management and Management system  Owner Action plans Infrastructure Strategies Vision Mission Values and (Business creator), apprecia- Policies Stakeholders, needs and Competitors Purpose expectations: tions * Products * Price and cost 15 Profound knowledge: Business management sciences and experiences + 3749/25.10.2010/jan Expertises in quality, information security, environmental protection, etc.
  • 16. Integration is an urgent necessity There are lots of different standards for specialized aspects of management systems – e.g. ISO 9001, ISO 14000, ISO 22000, ISO/IEC 27001, ISO 28000, etc. The number of standard requirements for management systems is increasing in fields associated with transportation, societal security, records management, event management and energy, etc. There is a very clear urgency and need for harmonization of the related standards. The practical requirement is that for achieving business efficiency and effectiveness there should be one and only one management system in all organization; there should be only one way of governing an organization, not four or five different ways! Into this one management system, one must fit the element of information security, quality, environment , etc. The concept ecosystem is being used already even in the management system standardization. Ecosystem = a system formed by the interaction of a community of organisms with their 16 environment. 3843/30.10.2010/jan
  • 17. Erillisistä hallintajärjestelmistä järjestelmällisyyteen Organisatorinen järjestelmällisyys toteutuu liiketoiminnan rakenteiden ja toiminnan (prosessien) kautta. 17 Todellinen ”hallintajärjestelmä” on illuusio ja erityinen hallintajärjestelmä on keinotekoinen rajoite ja rasite. 3752/7.11.2010/jan
  • 18. Integrating specialized domains of management standardization and ensuring natural business diversity The Finnish model Finance for integration (MSS) Product General management Environment quality system General Occupational management Ethics responsibilities health and safety and a business Organizational system identity & privacy Social Security responsibility Risks Organizational diversity 18 3342/20.10.2010/jan (Ref.: ISO Management systems standardization, MSS)
  • 19. Common structure and text for all management system requirements standards 4. Context of the organization 7. Support 4.1 Understanding of the organization 7.1Resources and its context 7.2 Competence 4.2 Needs and requirements 7.3 Awareness 4.3 Management system and scope 7.4 Communication 5. Leadership 7.4.1 External communication 5.1 General 7.4.2 Internal communication 5.2 Management commitment 7.5 Documented information 5.3 Policy 7.5.1 General 5.4 Organizational roles, 7.5.2 Create and update responsibilities and authorities 7.5.3 Control of documented 6 Planning Information 6.1 Objectives and plans to achieve 8. Operation them 8.1 Operational planning and control 6.2 Action to address issues and 9. Performance Evaluation concerns 9.1 Monitoring and measurement 9.2 Internal Audit 9.3 Management review 10. Improvement 10.1 Nonconformity and corrective action 10.2 Continual improvement This commom structure describes a general business management structure. 19 All information security aspects must be implemented within this business management structure. 3839/28.10.2010/jan (Ref.: Joint Technical Co-ordination Group (JTCG))
  • 20. Sidosryhmät (asiakkaat) kokevat tietoturvallisuuden organisaation tuotteiden kautta Organisaatio: Tuote: Sidosryhmä Tietoturvallisuus syntyy (asiakas): johtamisen ja prosessien Tavara kautta Info Myönteiset ja Lasku kielteiset tekijät (*) ---- Johtaminen ---- Ihmispalvelu Valinta Automaatti- palvelu Prosessit Liitäntäpinta sidosryhmään Sidosryhmätransaktiot 20 (”totuuden hetket”) 3844/14.10.2010/jan (*) Good-will <=> Bad-will -tasapaino
  • 21. Tietoturvallisuuden hallinta organisaation strategisessa (1) ja operatiivisessa (2) johtamisessa (1) Strateginen johtaminen: – Koko organisaatio systeeminä (kaikki liiketoimintaprosessit ja -projektit yhtenä systeemikokonaisuutena) – Entistä paremman suorituskyvyn ja kilpailukyvyn aikaansaaminen organisaatiolle tietoturvallisuuskysymyksissä – Strateginen tulevaisuusnäkökulma - Tietoturvallisuusaiheiden moninaisuus ja merkitys ovat lisääntymässä – Laajat koko organisaatiota koskevat innovatiiviset kehittämisprojektit – Muutosjohtaminen, entisestä luopuminen (2) Operatiivinen johtaminen: – Tietoturvallisuus ”juuri nyt ja tässä” yksittäisissä projekteissa ja toimintaprosesseissa – Päivittäisvelvoitteiden toteuttaminen tehokkaasti prosessi- ja projektisuunnitelmien mukaisesti – Operatiivinen nykyisyysnäkökulma – Prosessin / projektin sisäinen parantamistoiminta Molemmat näkökulmat ovat olemassa kaikissa organisaatioissa koko ajan samanaikaisesti. Niitä varten on erilaiset menettelyt. Johtamisvastuu kattaa organisaation kaikki toiminnalliset tasot ylimmästä johdosta työn tekemiseen kuten myös asiantuntijat. 21 3780/2.11.2010/jan
  • 22. Information security management: Planning, controlling, and improving the performance of business processes Performance (5) New performance A P planning Good C D Control with the new limit A P (4) Breakthrough C D improvement (2) Performance control (3) Small step improvement ”Kaizen” (1) Performance A P planning Control limit Prevention C D Bad Rectifying sporadic problems Time 22 Feedback 3766/12.11.2010/jan (Ref. Juran: Trilogy Approach; ”Triple PDCA”, PDCA = Plan-Do-Check-Act)
  • 23. Tasapaino prosessien ja struktuurin välillä Toimivuus Struktuuri #1 Struktuurin tulee palvella prosesseja (ts. toimintaa). Ulkopuolisesti pakotettu Struktuuri #2 struktuuri on haitallinen Prosessi (toiminta): organisaation identiteetin Itsestään kannalta. syntyvä, reaali- aikainen, aktiivinen, taitava, ohjautuva, oppiva, Tasapaino: avoin, - Vapaus / ohjaus elävä Rakenteen - Tietoisuus / ohjeet jäykkyys - Ihmiset / järjestelmät Struktuuri (oleva): Suunniteltu, rakennettu, ohjattu, - Luovuus / reaktiivisuus passiivinen, opetettu, pakotettu, suljettu, kuollut 23 360624/10.1.2010/jan
  • 24. Organisaation todellinen ekosysteemi luo pohjan tietoturvallisuuden toteuttamiselle Organisaatioiden toimintaolosuhteet ovat muuttuneet. Tarvitaan uusia ratkaisuja tietoturvallisuuden toteuttamisessa ja standardoinnissa: Epävarmuus ja monikäsitteisyys:  Toimijat heterogeenisiä ja toimivat itsestään syntyneissä ja –ohjautuvissa verkoissa  Liiketoimintaprosessit kompleksisia vuorovaikutusprosesseja  Toiminta globaalista ja aluepatrioottista  Toiminnot ja muutokset jatkuvasti nopeutuneet  Organisaatioilla paradoksaalinen vapaus (sekä-että-tilanteet)  Vaatimuksia samanaikaisesti agiliteetin ja maturiteetin suhteen  Immateriaalisten aiheiden (tieto, palvelut) merkitys korostunut  Epävirallinen toiminta, kehittyminen ja oppiminen merkittävässä asemassa  Transaktiokustannuksilla tärkeä merkitys ja vaikutus  Johdolla ja työntekijöillä alituinen kiire Varmuus ja ennustettavuus 24 3847/2.11.2010/jan (Refs.:D Zohar, R D Stacey)
  • 25. Problem and challenge of the information security profession to adapt to the needs of modern society Changed business environments (whole ecosystems) cannot be avoided: “No boundaries – The old boundaries have been obliterated. Today’s trends increase uncertainty, variety, variability, dynamics in all areas of business management.” (*) Speed Changes Business Agility environments Problem, ”Crisis of the Complexity and society information security Diversity management” Networking Immaterialness Preferred scenario: Variety - Global adaptation: Evolution Information toward a synergistic society security profession in - Breaktrough transformations its entirety needed in the information security profession including Time the related standardization 25 3641/2.11.2010/jan (*) Ref.: ASQ Future study 2008
  • 26. Tietoturvallisuuden hallinta ei ole ON / EI asia! ON (1) Tieto- turvallisuus EI (0) EI ON ”Tietoturvallisuustemput” 26 1934/30.1.2010/jan
  • 27. Organisaation tietoturvallisuuden hallinnan suorituskyvyn sumeus (fuzziness) Organisaation tietoturvallisuuden hallinnan kokonaisvaltainen kehittyminen (*) Huipputasoa 1 = täydellinen yritys Kypsyyttä Organisaatiot, joilla on Kilpailukykyä kolmannen osapuolen sertifikaatti Muutostarve? Miten toteuttaa muutos, Tehokkuutta prosesseissa ja liiketoimintajärjestelmässä? Alkua Tarinaa 0 = täysin kyvytön organisaatio 0 10 30 40 60 70 90 100 Suorituskyvyn arviointitulos % (*) Organisaation tietoturvallisuuden hallintaa arvioitaessa tarkastellaan erikseen organisaation toimintaa, toiminnan kehittymistä ja toiminnan kautta syntyneitä liiketoiminnan tuloksia 27 tietoturvallisuuden kannalta 3688/7.11.2010/jan (*) Ref.: Performance excellence models
  • 28. Haasteena hallintastandardien laadinta ja käyttö Yhteenveto: Standardoinnin triangelidraama 2. Standardien soveltaminen on organisaatioiden omalla vastuulla. - Johtamisjärjestelmiä ei voi 1. Kansainvälinen standardointi on standardoida. merkittävää kansainvälistä - Kansainvälisiä standardeja pitää yhteistoimintaa sen ongelmista ymmärtää ja soveltaa itselle huolimatta ja vaikka sen prosessit ja hyödyllisellä tavalla omassa -menettelyt kehittyvät tuskastut- johtamisjärjestelmässä. tavan hitaasti. - Hyödyntämisessä tulee arvostaa - Standardointitoimintaan ei ole integrointia, innovatiivisuutta ja nopeasti saatavissa parannusta. herkästi reagoimalla tarpeiden ja - Yleiset standardit ovat aina odotusten mukaisesti. puutteellisia. - Näitä varten kuitenkin tarvitaan - Standardien soveltajalle on tärkeätä tietämistä, osaamista ja uskallusta. tietää ja ymmärtää, mitä standardoin- nissa tapahtuu ja miten. Tämä voi 3. Kaupallinen hallintajärjestelmäsertifiointi toteutua vain osallistumalla. häiritsee aitoa standardien soveltamista. 28 - Tarvitaan uusia innovatiivisiä keinoja 3845/12.11.2010/jan varmistustoimintaa (assurance) varten.
  • 29. Juhani Anttila, Independent Expert Independent expert, Venture Knowledgist • Expertise of more than 40 years in the field of quality and 20 years of information security • 35 years at different quality related positions at Telecom Finland and Sonera Corporation • Several decades’ involvement with international and national standardization of quality, reliability, information security and telecommunications • Many years Assembly Representative and Vice President of the European Organization for Quality (EOQ) • A founder and developer of the Finnish National Quality Award, Developer and assessor of the European Quality Award • International Academician for Quality (Member of the International Academy for Quality) • Honorary Member of the Finnish Society for Quality, Honorary Fellow Member of Quality and Productivity Society of Pakistan • Board member or chairman in some companies • Expert adviser in several organizations in quality management, dependability management, information security management, crisis management and social media, and lecturer in some universities • Expert in projects in some developing countries • Contributing by writings, lectures, and speeches globally on five continents 29 3678x/3.5.2009/jan (Ref.: http://www.qualityintegration.biz/contacts.html )