如何理解和選擇ISO27001認(rèn)證中的風(fēng)險(xiǎn)所有者？
第一，如何理解資產(chǎn)所有者(Assetowners)
在2005年和2013年ISO27001年標(biāo)準(zhǔn)中，提到了資產(chǎn)所有者的概念。什么是資產(chǎn)所有者？資產(chǎn)所有者是經(jīng)管理層批準(zhǔn)，負(fù)責(zé)生產(chǎn)、開發(fā)、維護(hù)、使用和確保資產(chǎn)安全的個(gè)人或?qū)嶓w，一般認(rèn)為，資產(chǎn)所有者是資產(chǎn)安全的負(fù)責(zé)人，即確定資產(chǎn)安全需求并對(duì)資產(chǎn)安全控制提出安全要求的人。

 

為什么指定資產(chǎn)所有者非常重要？因?yàn)槿绻麤]有指定資產(chǎn)所有者，就沒有人對(duì)資產(chǎn)的安全負(fù)責(zé)，因此無(wú)法保證資產(chǎn)能夠得到妥善的保護(hù)和管理，導(dǎo)致資產(chǎn)安全管理混亂，安全風(fēng)險(xiǎn)無(wú)法控制。

 

由于上述資產(chǎn)所有者的關(guān)鍵性，2005年和2013年ISO27001年標(biāo)準(zhǔn)都需要識(shí)別資產(chǎn)所有者，然后以資產(chǎn)為主線進(jìn)行基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估，最終通過資產(chǎn)所有者實(shí)施風(fēng)險(xiǎn)處置措施來提高安全控制能力。

 

二、如何理解風(fēng)險(xiǎn)所有者(Riskowners)
風(fēng)險(xiǎn)所有者是持有風(fēng)險(xiǎn)管理權(quán)利和責(zé)任的個(gè)人或?qū)嶓w(personorentitywitheacountabityandautytomangearisk.)。一般來說，風(fēng)險(xiǎn)所有者是那些希望控制某種風(fēng)險(xiǎn)并有足夠權(quán)利和資源處理該風(fēng)險(xiǎn)的人。

既然有資產(chǎn)所有者的概念，為什么還需要風(fēng)險(xiǎn)所有者？原因如下:
標(biāo)準(zhǔn)之間的兼容性:風(fēng)險(xiǎn)所有者的概念已經(jīng)在ISO31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)中定義，ISO27001:2013版旨在保證與其他相關(guān)管理標(biāo)準(zhǔn)的兼容性。

風(fēng)險(xiǎn)評(píng)估方法擴(kuò)展:信息安全風(fēng)險(xiǎn)評(píng)估一直采用基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估方法。雖然在ISO27001:2013版中，以資產(chǎn)為出發(fā)點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估仍然是一種主導(dǎo)方法，但新標(biāo)準(zhǔn)擴(kuò)大了風(fēng)險(xiǎn)評(píng)估方法，在評(píng)估資產(chǎn)的同時(shí)，也評(píng)估了企業(yè)的安全環(huán)境，這種安全環(huán)境的風(fēng)險(xiǎn)處置是資產(chǎn)所有者無(wú)能為力的。

考慮風(fēng)險(xiǎn)處置效果:由于風(fēng)險(xiǎn)處置涉及組織的部門和角色很多，很多情況下資產(chǎn)所有者沒有足夠的能力或資源來有效處置風(fēng)險(xiǎn)。比如信息系統(tǒng)可能面臨變更管理不善帶來的風(fēng)險(xiǎn)，但完善變更管理的處置措施不一定是信息系統(tǒng)所有者能夠完成的，可能是由組織的其他部門或角色(如IT服務(wù)管理部門)來完成的。也就是說，資產(chǎn)所有者只能處置資產(chǎn)本身的風(fēng)險(xiǎn)，組織風(fēng)險(xiǎn)和過程風(fēng)險(xiǎn)的處置是資產(chǎn)所有者無(wú)法完成的。

綜上所述，2013年ISO27001的變化主要是為了進(jìn)一步提高標(biāo)準(zhǔn)中風(fēng)險(xiǎn)管理理論的邏輯性，進(jìn)一步加強(qiáng)風(fēng)險(xiǎn)控制措施的實(shí)施。

 

三、如何選擇風(fēng)險(xiǎn)所有者(Riskowners)
既然風(fēng)險(xiǎn)所有者(Riskowners)對(duì)風(fēng)險(xiǎn)管理如此重要，那么在風(fēng)險(xiǎn)評(píng)估中如何選擇風(fēng)險(xiǎn)所有者呢？針對(duì)這一問題，提出了三個(gè)原則和建議:
風(fēng)險(xiǎn)與責(zé)任直接相關(guān)：風(fēng)險(xiǎn)所有者最終負(fù)責(zé)風(fēng)險(xiǎn)的處置，所以最重要的是風(fēng)險(xiǎn)應(yīng)該直接關(guān)系到風(fēng)險(xiǎn)所有者的責(zé)任，也就是說誰(shuí)會(huì)為風(fēng)險(xiǎn)買單，或者如果風(fēng)險(xiǎn)不處置，誰(shuí)會(huì)受到影響，這個(gè)人就是風(fēng)險(xiǎn)所有者。

有足夠的高度和能力：只有在組織中有足夠高的職位，才能有更強(qiáng)的風(fēng)險(xiǎn)處置能力和協(xié)調(diào)資源的能力。因此，在指定風(fēng)險(xiǎn)所有者時(shí)，應(yīng)指定高級(jí)管理人員。通常，風(fēng)險(xiǎn)所有者的職位水平高于資產(chǎn)所有者。

明確組織的具體人員：在識(shí)別資產(chǎn)所有者時(shí)，許多組織指定所有者到部門（如IT部門）而不是個(gè)人，但不建議確定風(fēng)險(xiǎn)所有者。相反，風(fēng)險(xiǎn)所有者必須非常具體，并指定人。

適當(dāng)識(shí)別資產(chǎn)所有者和風(fēng)險(xiǎn)所有者是組織需要仔細(xì)考慮的問題。合理設(shè)置資產(chǎn)所有者不僅可以使風(fēng)險(xiǎn)處置更容易，而且可以使風(fēng)險(xiǎn)處置活動(dòng)更有效。

如何理解和選擇ISO27001認(rèn)證中的風(fēng)險(xiǎn)所有者？