管理研究
ISO27001标准中的信息资产风险管理责任
在ISO27001新版标准中提出了一个新的概念“风险所有者”,而ISO27001:2005版标准中原有的“资产所有者”的概念在新版标准中也同样是适用的,也就是说在ISO27001新版标准中,同时定义了“资产所有者”与“风险所有者”两个概念,关键作用是进一步明确和落实风险管理责任。
一、如何理解资产所有者
资产所有者是“已经获得管理层批准,负责生产、开发、维护、使用和保证资产安全的个人或实体。”资产的所有者就是资产安全上的责任人,即确定资产的安全需求、对资产安全管控提出安全要求的人。如果不指定资产所有者,就没人对资产的安全负责,这样的话无法确保资产能够得到妥善的保护与管理,从而造成资产安全管理上的混乱与安全风险的不可控。
二、如何理解风险所有者
风险所有者是“对风险管理持有权利和责任的个人或实体。”风险所有者就是希望能够控制某一风险,并且在组织中又有足够的权利和资源去处理这一风险的人,通常可以理解为部门或公司领导。
三、两者的关系
既然有了资产所有者的概念,为什么还需要风险所有者呢?原因如下:标准之间的兼容性:在ISO 31000风险管理标准中已经定义了“风险所有者”的概念,ISO27001:2013版此次改版意在与其他相关的管理标准保证兼容性。
四、如何确定风险所有者
既然风险的所有者对于风险管理如此之重要,那么,在进行风险评估时该如何选择风险的所有者呢?针对这个问题,有三个方面的原则建议:
在ISO27001新版标准中提出了一个新的概念“风险所有者”,而ISO27001:2005版标准中原有的“资产所有者”的概念在新版标准中也同样是适用的,也就是说在ISO27001新版标准中,同时定义了“资产所有者”与“风险所有者”两个概念,关键作用是进一步明确和落实风险管理责任。
一、如何理解资产所有者
资产所有者是“已经获得管理层批准,负责生产、开发、维护、使用和保证资产安全的个人或实体。”资产的所有者就是资产安全上的责任人,即确定资产的安全需求、对资产安全管控提出安全要求的人。如果不指定资产所有者,就没人对资产的安全负责,这样的话无法确保资产能够得到妥善的保护与管理,从而造成资产安全管理上的混乱与安全风险的不可控。
二、如何理解风险所有者
风险所有者是“对风险管理持有权利和责任的个人或实体。”风险所有者就是希望能够控制某一风险,并且在组织中又有足够的权利和资源去处理这一风险的人,通常可以理解为部门或公司领导。
三、两者的关系
既然有了资产所有者的概念,为什么还需要风险所有者呢?原因如下:标准之间的兼容性:在ISO 31000风险管理标准中已经定义了“风险所有者”的概念,ISO27001:2013版此次改版意在与其他相关的管理标准保证兼容性。
- 风险评估方法扩展:一直以来信息安全风险评估都是采用“基于资产的风险评估”方法,虽然在ISO27001:2013版中以资产为出发点进行风险评估仍然是一种主导方法,但是,新版标准已经针对风险评估方法进行了扩展,在针对资产进行安全评估的同时还要评估企业的“安全环境”,而这种“安全环境”风险的处置是资产所有者无能为力的。
- 风险处置效果考虑:由于风险处置所涉及组织的部门及角色很多,很多情况下资产所有者没有足够的能力或资源来进行风险的有效处置,例如信息系统可能面临变更管理不善所带来的风险,但完善变更管理这项处置措施并不一定是信息系统的所有者能够去完成的,可能由组织的其他部门或角色(如IT服务管理部门)来进行。也就是说,资产所有者只能针对资产本身存在的风险进行处置,组织风险、过程风险的处置是资产所有者无法完成的,必须是风险的所有者(即部门或公司领导)根据其对风险的接受程度才可能解决的。
四、如何确定风险所有者
既然风险的所有者对于风险管理如此之重要,那么,在进行风险评估时该如何选择风险的所有者呢?针对这个问题,有三个方面的原则建议:
- 风险与职责直接相关:风险所有者最终负责风险的处置,那么最重要的当然是这一风险要与风险所有者在职责上直接相关,也就是说谁会为这个风险来“买单”,或者说这个风险不处置的话谁会受影响,这个人就是风险所有者。
- 具有足够高度与能力:组织内位置足够高的岗位人员才有更强的风险处置推动能力及协调资源能力,所以,在指定风险所有者时应指定级别较高的管理人员,通常,风险所有者要比资产所有者的职位级别要高一些。
- 明确到组织具体人员:在识别资产所有者时,很多组织都将所有者指定到部门(如IT部)而不是指定到个人,但确定风险所有者时并不建议这样操作,相反,风险所有者一定要非常具体并指定到人。
