Mijn (informele) ervaring met ISO 9000 is dat het idee dit is: Je schrijft op wat je doet en hoe je het doet, en dan houd je je daaraan. (Vandaar de HHOS-opmerking "Hoofdstuk 0: Procedure voor het wijzigen van dit document".) Op zich geen slecht idee. Waarom je meer dan een pagina nodig hebt om dat op te schrijven ontgaat me een beetje. Ik ben er dan ook nooit ingedoken, mischien is er wel een reden.
Maar zulke dingen willen nog wel eens een eigen leven gaan leiden. De nummertjes blijken belangrijker dan of het hele circus opvoeren ook wel nut heeft. De schijn, het als circus opvoeren van het idee, wint het van de inhoud.
Dat kom je eigenlijk overal wel tegen. Prince2, ITIL, Six Sigma, Lean, Agile, noem maar op. Dus dat zal met ISO 27000 niet anders zijn.
Dat merk ik op zonder veel inhoudelijke kennis van al die individuele dingen. Mijn ervaring beperkt zich tot de blik van veraf: Hoe gedragen de mensen die zich hiermee bezighouden zich, hoe gaan ze ermee om? Een ervaring in de jaren 90 dringt zich op: Kwam iemand tegen die, gevraagd wat'ie deed voor de kost, opzwol en declareerde dat'ie "in de IT" zat. Toen ik doorvroeg liep de lucht er al snel weer uit. Ik bleek technisch toch iets beter onderlegd dan hij. Hij was dan ook sales, "in de IT". Daar ga je met je belangrijkheid, en een goed gesprek "talking shop" zat er ook al niet in. Zo ook iemand die wel de methodologie van buiten kent maar niet verder komt dan het afratelen van de antwoorden op de examenvragen. Probeer je er echt in te duiken, kom je er snel achter dat er inhoud en begrip mist.
Gerelateerd commentaar is bijvoorbeeld te vinden in het stuk "Cargo Cult Science" van Richard Feynman, dat mischien wel bekend is onder de oplettende lezertjes. Ook lezenswaardig is een commentaar over de Rational Unified Process-methodologie en methodologiën in het algemeen:
http://www.fysh.org/~katie/computing/methodologies.txt.
Belangrijk is ook het punt wat in dat linkje wordt aangestipt: Waarom standaardiseer je? Is het omdat je een standaard-gereedschapskist neerzet voor experts in het veld zodat ze standaardgereedschap hebben om mee te werken en ideën uit te wisselen? Of is het omdat je pretendeert door slaafs de regeltjes van de methode of de standaard te volgen dat dan iedereen expertwerk kan afleveren? Dat laatste gebeurt mischien vaker dan je denkt, maar zal niet werken.
Als je hele dikke boeken nodig hebt om alle details van je methodologie te beschrijven en er vele consultancybedrijfjes opduiken om gebruikers door al die materie heen te loodsen, dan heb je niet een handig gereedschap omhanden. Dan is het eerder een blok aan het been.
Persoonlijk denk ik dat zulk methodologie- en standaardiseerstreven groot risico loopt in die val te lopen. Want hoewel het heel redelijk is iedere timmerman dezelfde basisopleiding te geven (waarna hij zichzelf verdere kunde kan bijbrengen), het metrisch stelsel duidelijk nuttig is, en ook standaarden voor metrische moertjes en boutjes een prima idee zijn, is een heel arsenaal aan standaardbewegingen voor de security-expert (of de programmeur, de projectmanager, de systeembeheerder, noem maar op) neerzetten en je dan beperken tot alleen die bewegingen, een minder goed idee. Maar dat is wel het risico wat je loopt als je probeert de "best practices" in een standaard vast te leggen, en vervolgens hele volksstammen gaan proberen "security expert volgens de ISO norm" te zijn.
Wat niet wil zeggen dat alle standaardiseerstreven bij voorbaat nutteloos is. Het kan handig zijn, maar kan dus evengoed tegenwerken. Wat maakt het verschil?
Zoals het literatuurboek op de middelbare school betoogde: Wat maakt Literatuur-met-hoofdletter danwel lektuur? Hoe schrijft een groot schrijver? Zijn het de regels van spelling, grammatica, compositie, en zo verder? In onze termen, is het de standaardmethodologie van het Literatuurschrijven? ISO 123450000 "meesterschrijverschap"?
Nee, grote schrijvers breken die regels met grote regelmaat. Wat niet wil zeggen dat de spellingsregels nutteloos zijn. Maar dat wil ook niet zeggen dat iedere jandoedel een groot schrijver is, of kan zijn. Naast talent en iets te vertellen hebben, moet je eerst de regels van binnen en van buiten beheersen. Pas als je ze in meesterschap kan overstijgen kun je ze met goed resultaat breken. En dat geldt eigenlijk voor wel meer werkgebieden.
De volgende vraag dringt zich dan op: Als complete handleiding security-expert is het niet geschikt, dat is nu wel duidelijk. Maar is ISO 27000 geschikt als grammaticaregels van de security? Dat weet ik niet. Ik kan het hele document niet eens binnenhalen (copyright-acceptatieformulier met leeg action="" veld), dus inhoudelijk kan ik er geen commentaar op geven. Het lijkt niet echt te leven behalve onder standaardnummertjesfetishisten. En ook of het een geschikt onderwerp is om door ISO te laten standaardiseren is me niet duidelijk.
Dat het hele security-gebeuren zelf nog in de kinderschoenen staat, dat is wel duidelijk. Is ISO 27000 een nuttige toevoeging? Geen idee. Het is best een stukje leeswerk, gezien het aantal hoofdstukken in 27001, en 27002, volgens wikipedia. Wie zin heeft kan er induiken om te kijken waar het werkelijk over gaat en waarom ze daar zoveel woorden voor nodig hebben.