湖南 ISO27001新版標準相關問題

　如何理解資產(chǎn)所有者(Asset owners)

　　在2005版和2013版湖南 ISO 27001標準中都提到了“資產(chǎn)所有者(Asset owners)”的概念，什么是資產(chǎn)所有者?資產(chǎn)所有者是“已經(jīng)獲得管理層批準，負責生產(chǎn)、開發(fā)、維護、使用和保證資產(chǎn)安全的個人或實體。”通俗的理解，資產(chǎn)的所有者就是資產(chǎn)安全上的責任人，即確定資產(chǎn)的安全需求、對資產(chǎn)安全管控提出安全要求的人。

　　為什么指定資產(chǎn)所有者至關重要?因為如果不指定資產(chǎn)所有者，就沒人對資產(chǎn)的安全負責，這樣的話無法確保資產(chǎn)能夠得到妥善的保護與管理，從而造成資產(chǎn)安全管理上的混亂與安全風險的不可控。

　　由于上述資產(chǎn)所有者的關鍵性，所以無論2005版還是2013版的ISO 27001標準中都要求識別資產(chǎn)所有者，然后再以資產(chǎn)為主線進行“基于資產(chǎn)的風險評估”，最終通過資產(chǎn)所有者落實風險處置措施來提高安全管控能力。

　　如何理解風險所有者(Risk owners)

　　那么，什么又是風險所有者(Risk owners)呢?風險所有者是“對風險管理持有權利和責任的個人或實體(person or entity with the accountability and authority to manage a risk.)。”通俗的理解，風險所有者就是希望能夠控制某一風險，并且在組織中又有足夠的權利和資源去處理這一風險的人。

　　既然有了資產(chǎn)所有者的概念，為什么還需要風險所有者呢?原因如下：

　　1. 標準之間的兼容性 ：在湖南 ISO 31000風險管理標準中已經(jīng)定義了“風險所有者“的概念，ISO 27001：2013版此次改版意在與其他相關的管理標準保證兼容性。

　　2. 風險評估方法擴展 ：一直以來信息安全風險評估都是采用“基于資產(chǎn)的風險評估”方法，雖然在湖南 ISO 27001：2013版中以資產(chǎn)為出發(fā)點進行風險評估仍然是一種主導方法，但是，新版標準已經(jīng)針對風險評估方法進行了擴展，在針對資產(chǎn)進行安全評估的同時還要評估企業(yè)的”安全環(huán)境“，而這種”安全環(huán)境“風險的處置是資產(chǎn)所有者無能為力的。

　　3. 風險處置效果考慮 ：由于風險處置所涉及組織的部門及角色很多，很多情況下資產(chǎn)所有者沒有足夠的能力或資源來進行風險的有效處置，例如信息系統(tǒng)可能面臨 變更管理 不善所帶來的風險，但完善變更管理這項處置措施并不一定是信息系統(tǒng)的所有者能夠去完成的，可能由組織的其他部門或角色(如IT服務管理部門)來進行。也就是說，資產(chǎn)所有者只能針對資產(chǎn)本身存在的風險進行處置，組織風險、過程風險的處置是資產(chǎn)所有者無法完成的。

　　總結下來，2013版ISO 27001針對”風險所有者(Risk owners)“的變化，主要是進一步完善標準中關于風險管理理論的邏輯性，同時也實用性上進一步加強了風險控制措施落實。

　　如何選擇風險所有者(Risk owners)

　　既然風險的所有者(Risk owners)對于風險管理如此之重要，那么，在進行風險評估時該如何選擇風險的所有者呢?針對這個問題，我給出三個方面的原則建議：

　　1. 風險與職責直接相關 ：風險所有者最終負責風險的處置，那么最重要的當然是這一風險要與風險所有者在職責上直接相關，也就是說誰會為這個風險來”買單“，或者說這個風險不處置的話誰會受影響，這個人就是風險所有者。

　　2. 具有足夠高度與能力 ：組織內(nèi)位置足夠高的崗位人員才有更強的風險處置推動能力及協(xié)調(diào)資源能力，所以，在指定風險所有者時應指定級別較高的管理人員，通常，風險所有者要比資產(chǎn)所有者的職位級別要高一些。

　　3. 明確到組織具體人員 ：在識別資產(chǎn)所有者時，很多組織都將所有者指定到部門(如IT部)而不是指定到個人，但確定風險所有者時并不建議這樣操作，相反，風險所有者一定要非常具體并指定到人。

　　恰當?shù)淖R別資產(chǎn)所有者與風險所有者是組織需要仔細考慮的事情，合理的設置資產(chǎn)所有者、風險所有者不僅能使風險的處置更加容易，而且還能使風險處置活動更加有效。