keskiviikkona, tammikuuta 19, 2011
Mitä on laadukas tietoturvallisuus?
Tietoturvallisuuden hallinnan kansainvälisissä tietoturvallisuuden hallinnan standardeissa ISO/IEC 27000, joista on vastuullisena komitea ISO/IEC JTC1 SC27, on paljon seurattu laajemmin tunnettuja ja käytettyjä laadunhallinnan ISO 9000 -standardeja. Kuitenkin tietoturvallisuuden ja laadunhallinnan asiantuntijoiden välinen yhteistyö standardien käytännön soveltamisessa on jäänyt varsin heikoksi. Kuitenkin myös tieturvallisuuden hallinnassa pitäisi toimia laadukkaasti ja toisaalta laadunhallinnassa joudutaan paljon tekemisiin monenlaisen tiedon kanssa, jolloin myös tietoturvallisuudella on siinä yhteydessä yhä kasvava merkitys.
Tietoturvallisuus käsitteenä ja määritelmänsä mukaisesti yleinen käsite eikä ota huomioon kenen suhteen sitä sovelletaan. Asian selkiyttämiseksi voidaan hyödyntää myös yleisiä laadunhallinan käsitteitä. ISO 9000 mukainen laadun määritelmä on hyödyllinen myös tietoturvallisuuden yhteydessä. Laadulla tarkoitetaan sitä, missä määrin tarkasteltava kohde täyttää kaikkien sidosryhmien tarpeet ja odotukset. Tietoturvallisuuteen sovellettaessa laadun tavoitteleminen korostaa asianmukaisten ja tapauskohtaisten sidosryhmien aitojen tarpeiden ja odotusten selvittämistä ja tuntemista tietoturvallisuuden suhteen, ja sitten sen perusteella vaikuttavien ja tehokkaiden ratkaisujen toteuttamista. Tällä hetkellä tämä hyvin oleellinen näkökulma on ISO/IEC 27000 -standardien soveltamisessa vähintäänkin selkiytymätön.
Tietoturvallisuuden standardien soveltamisessa ei riitä vain "minimivaatimusten" toteuttaminen, ongelmiin varautuminen eikä keskinkertaisesti hyvä standardien soveltaminen. Tähän ei voi myöskään päästä vain reaktiivisilla turva/suojatoimenpiteillä. Välttämättömänä vaatimuksena on myönteinen erottuminen, differentioituminen, muista. Maailmalla tätä kutsutaan ekselenssiksi, ja siitä on hyviä esimerkkejä muilta aihealueilta. Erottuminen edellyttää innovatiivisia ja "käänteentekeviä" ratkaisuja (lean/disruptive information security management).
On suositeltavaa, että tietoturvallisuuden asiantuntijat paneutuisivat entistä syvällisemmin myös ISO 9000 -standardiperheen perusstandardeihin ISO 9001 ja ISO 9004. Nämä standardit ovat alunperin syntyneet jo 1980-luvulla, mutta nyt niistä on saatavilla varsin uudet neljännet revisiot vuosilta 2008 ja 2009.
==> Lue lisää ISO 9000 standardeista
Tietoturvallisuus käsitteenä ja määritelmänsä mukaisesti yleinen käsite eikä ota huomioon kenen suhteen sitä sovelletaan. Asian selkiyttämiseksi voidaan hyödyntää myös yleisiä laadunhallinan käsitteitä. ISO 9000 mukainen laadun määritelmä on hyödyllinen myös tietoturvallisuuden yhteydessä. Laadulla tarkoitetaan sitä, missä määrin tarkasteltava kohde täyttää kaikkien sidosryhmien tarpeet ja odotukset. Tietoturvallisuuteen sovellettaessa laadun tavoitteleminen korostaa asianmukaisten ja tapauskohtaisten sidosryhmien aitojen tarpeiden ja odotusten selvittämistä ja tuntemista tietoturvallisuuden suhteen, ja sitten sen perusteella vaikuttavien ja tehokkaiden ratkaisujen toteuttamista. Tällä hetkellä tämä hyvin oleellinen näkökulma on ISO/IEC 27000 -standardien soveltamisessa vähintäänkin selkiytymätön.
Tietoturvallisuuden standardien soveltamisessa ei riitä vain "minimivaatimusten" toteuttaminen, ongelmiin varautuminen eikä keskinkertaisesti hyvä standardien soveltaminen. Tähän ei voi myöskään päästä vain reaktiivisilla turva/suojatoimenpiteillä. Välttämättömänä vaatimuksena on myönteinen erottuminen, differentioituminen, muista. Maailmalla tätä kutsutaan ekselenssiksi, ja siitä on hyviä esimerkkejä muilta aihealueilta. Erottuminen edellyttää innovatiivisia ja "käänteentekeviä" ratkaisuja (lean/disruptive information security management).
On suositeltavaa, että tietoturvallisuuden asiantuntijat paneutuisivat entistä syvällisemmin myös ISO 9000 -standardiperheen perusstandardeihin ISO 9001 ja ISO 9004. Nämä standardit ovat alunperin syntyneet jo 1980-luvulla, mutta nyt niistä on saatavilla varsin uudet neljännet revisiot vuosilta 2008 ja 2009.
==> Lue lisää ISO 9000 standardeista
Tämän blogin aineistojen
käyttöoikeutta koskee
Creative Commons
lähde mainittava 3.0 -lisenssi.
