Pohjois-Suomen tietoturvallisuusverkosto

Ns. hallintastandardeista ovat tunnetuimpia kansainvälisten standardisointiorganisaatioiden, ISOn, IECn ja ITUn, toimesta laaditut yleiset standardit organisaatioiden johtamisen erityisaihealueita varten. Laajasti tunnettuja ja myös tunnustettuja ovat ISO 9000 –standardit laadunhallintaa ja ISO/IEC 27000 –standardit tietoturvallisuuden hallintaa varten. Näiden standardien käyttöön liittyy myös vaaroja organisaatioiden identiteetin kannalta, jos ei tunne standardien taustoja ja niiden laadintaprosessia eikä osaa soveltaa standardeja organisaatioitsekkäästi ja innovatiivisesti.

On edelleenkin organisaatioita, jotka rakentavat ja ylläpitävät erityisiä “toimintajärjestelmiä”, esimerkiksi tietoturvallisuuden hallintajärjestelmiä. Tällaista organisaatioille haitallista toimintaa jopa edistetään koulutuksella ja konsultoinnilla. On hyvin tavallista, että organisaatioiden eri johtamisalueita varten toteutetut hallintajärjestelmät (perustuen standardeihin tai muihin lähteisiin) ovat toisistaan erillisiä ja lisäksi erillään organisaation liiketoiminnan johtamisjärjestelmästä.

Sertifiointi vielä edelleenkin ohjaa organisaatioiden eri alojen hallintastandardien toteutuksia. Tähän liittyy vaaroina, että:
• johtamisen vastuuta siirretään ulkopuolisille,
• ulkopuolinen “kontrolli” (1980-luvun laatuajattelua) korvaa aitoja johtamistoimenpiteitä,
• standardinäkökulma katkaisee aidon toimittaja-asiakas-suhteen,
• organisaation bisnesnäkökulma hämärtyy standardiklausuuleihissa ja
• syntyy turhaa organisaatioille ylimääräistä rahastusta.

Jos aihe kiinnostaa syvällisemmin, tutustu siihen liittyvään kalvosarjaan.

# posted by Juhani Anttila @ 16:02 1 comments