如何理解和選擇ISO27001認證中的風(fēng)險所有者？
第一，如何理解資產(chǎn)所有者(Assetowners)
在2005年和2013年ISO27001年標準中，提到了資產(chǎn)所有者的概念。什么是資產(chǎn)所有者？資產(chǎn)所有者是經(jīng)管理層批準，負責生產(chǎn)、開(kāi)發(fā)、維護、使用和確保資產(chǎn)安全的個(gè)人或實(shí)體，一般認為，資產(chǎn)所有者是資產(chǎn)安全的負責人，即確定資產(chǎn)安全需求并對資產(chǎn)安全控制提出安全要求的人。

 

為什么指定資產(chǎn)所有者非常重要？因為如果沒(méi)有指定資產(chǎn)所有者，就沒(méi)有人對資產(chǎn)的安全負責，因此無(wú)法保證資產(chǎn)能夠得到妥善的保護和管理，導致資產(chǎn)安全管理混亂，安全風(fēng)險無(wú)法控制。

 

由于上述資產(chǎn)所有者的關(guān)鍵性，2005年和2013年ISO27001年標準都需要識別資產(chǎn)所有者，然后以資產(chǎn)為主線(xiàn)進(jìn)行基于資產(chǎn)的風(fēng)險評估，最終通過(guò)資產(chǎn)所有者實(shí)施風(fēng)險處置措施來(lái)提高安全控制能力。

 

二、如何理解風(fēng)險所有者(Riskowners)
風(fēng)險所有者是持有風(fēng)險管理權利和責任的個(gè)人或實(shí)體(personorentitywitheacountabityandautytomangearisk.)。一般來(lái)說(shuō)，風(fēng)險所有者是那些希望控制某種風(fēng)險并有足夠權利和資源處理該風(fēng)險的人。

既然有資產(chǎn)所有者的概念，為什么還需要風(fēng)險所有者？原因如下:
標準之間的兼容性:風(fēng)險所有者的概念已經(jīng)在ISO31000風(fēng)險管理標準中定義，ISO27001:2013版旨在保證與其他相關(guān)管理標準的兼容性。

風(fēng)險評估方法擴展:信息安全風(fēng)險評估一直采用基于資產(chǎn)的風(fēng)險評估方法。雖然在ISO27001:2013版中，以資產(chǎn)為出發(fā)點(diǎn)進(jìn)行風(fēng)險評估仍然是一種主導方法，但新標準擴大了風(fēng)險評估方法，在評估資產(chǎn)的同時(shí)，也評估了企業(yè)的安全環(huán)境，這種安全環(huán)境的風(fēng)險處置是資產(chǎn)所有者無(wú)能為力的。

考慮風(fēng)險處置效果:由于風(fēng)險處置涉及組織的部門(mén)和角色很多，很多情況下資產(chǎn)所有者沒(méi)有足夠的能力或資源來(lái)有效處置風(fēng)險。比如信息系統可能面臨變更管理不善帶來(lái)的風(fēng)險，但完善變更管理的處置措施不一定是信息系統所有者能夠完成的，可能是由組織的其他部門(mén)或角色(如IT服務(wù)管理部門(mén))來(lái)完成的。也就是說(shuō)，資產(chǎn)所有者只能處置資產(chǎn)本身的風(fēng)險，組織風(fēng)險和過(guò)程風(fēng)險的處置是資產(chǎn)所有者無(wú)法完成的。

綜上所述，2013年ISO27001的變化主要是為了進(jìn)一步提高標準中風(fēng)險管理理論的邏輯性，進(jìn)一步加強風(fēng)險控制措施的實(shí)施。

 

三、如何選擇風(fēng)險所有者(Riskowners)
既然風(fēng)險所有者(Riskowners)對風(fēng)險管理如此重要，那么在風(fēng)險評估中如何選擇風(fēng)險所有者呢？針對這一問(wèn)題，提出了三個(gè)原則和建議:
風(fēng)險與責任直接相關(guān)：風(fēng)險所有者最終負責風(fēng)險的處置，所以最重要的是風(fēng)險應該直接關(guān)系到風(fēng)險所有者的責任，也就是說(shuō)誰(shuí)會(huì )為風(fēng)險買(mǎi)單，或者如果風(fēng)險不處置，誰(shuí)會(huì )受到影響，這個(gè)人就是風(fēng)險所有者。

有足夠的高度和能力：只有在組織中有足夠高的職位，才能有更強的風(fēng)險處置能力和協(xié)調資源的能力。因此，在指定風(fēng)險所有者時(shí)，應指定高級管理人員。通常，風(fēng)險所有者的職位水平高于資產(chǎn)所有者。

明確組織的具體人員：在識別資產(chǎn)所有者時(shí)，許多組織指定所有者到部門(mén)（如IT部門(mén)）而不是個(gè)人，但不建議確定風(fēng)險所有者。相反，風(fēng)險所有者必須非常具體，并指定人。

適當識別資產(chǎn)所有者和風(fēng)險所有者是組織需要仔細考慮的問(wèn)題。合理設置資產(chǎn)所有者不僅可以使風(fēng)險處置更容易，而且可以使風(fēng)險處置活動(dòng)更有效。

如何理解和選擇ISO27001認證中的風(fēng)險所有者？