發(fā)布日期:2022-06-10 瀏覽次數(shù):0次
如何理解資產(chǎn)所有者(Asset owners)
在2005版和2013版fuwurenzheng ISO 27001標(biāo)準(zhǔn)中都提到了“資產(chǎn)所有者(Asset owners)”的概念,什么是資產(chǎn)所有者?資產(chǎn)所有者是“已經(jīng)獲得管理層批準(zhǔn),負(fù)責(zé)生產(chǎn)、開發(fā)、維護(hù)、使用和保證資產(chǎn)安全的個(gè)人或?qū)嶓w?!蓖ㄋ椎睦斫?,資產(chǎn)的所有者就是資產(chǎn)安全上的責(zé)任人,即確定資產(chǎn)的安全需求、對(duì)資產(chǎn)安全管控提出安全要求的人。
為什么指定資產(chǎn)所有者至關(guān)重要?因?yàn)槿绻恢付ㄙY產(chǎn)所有者,就沒人對(duì)資產(chǎn)的安全負(fù)責(zé),這樣的話無法確保資產(chǎn)能夠得到妥善的保護(hù)與管理,從而造成資產(chǎn)安全管理上的混亂與安全風(fēng)險(xiǎn)的不可控。
由于上述資產(chǎn)所有者的關(guān)鍵性,所以無論2005版還是2013版的ISO 27001標(biāo)準(zhǔn)中都要求識(shí)別資產(chǎn)所有者,然后再以資產(chǎn)為主線進(jìn)行“基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估”,最終通過資產(chǎn)所有者落實(shí)風(fēng)險(xiǎn)處置措施來提高安全管控能力。
如何理解風(fēng)險(xiǎn)所有者(Risk owners)
那么,什么又是風(fēng)險(xiǎn)所有者(Risk owners)呢?風(fēng)險(xiǎn)所有者是“對(duì)風(fēng)險(xiǎn)管理持有權(quán)利和責(zé)任的個(gè)人或?qū)嶓w(person or entity with the accountability and authority to manage a risk.)?!蓖ㄋ椎睦斫猓L(fēng)險(xiǎn)所有者就是希望能夠控制某一風(fēng)險(xiǎn),并且在組織中又有足夠的權(quán)利和資源去處理這一風(fēng)險(xiǎn)的人。
既然有了資產(chǎn)所有者的概念,為什么還需要風(fēng)險(xiǎn)所有者呢?原因如下:
1. 標(biāo)準(zhǔn)之間的兼容性 :在fuwurenzheng ISO 31000風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)中已經(jīng)定義了“風(fēng)險(xiǎn)所有者“的概念,ISO 27001:2013版此次改版意在與其他相關(guān)的管理標(biāo)準(zhǔn)保證兼容性。
2. 風(fēng)險(xiǎn)評(píng)估方法擴(kuò)展 :一直以來信息安全風(fēng)險(xiǎn)評(píng)估都是采用“基于資產(chǎn)的風(fēng)險(xiǎn)評(píng)估”方法,雖然在fuwurenzheng ISO 27001:2013版中以資產(chǎn)為出發(fā)點(diǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估仍然是一種主導(dǎo)方法,但是,新版標(biāo)準(zhǔn)已經(jīng)針對(duì)風(fēng)險(xiǎn)評(píng)估方法進(jìn)行了擴(kuò)展,在針對(duì)資產(chǎn)進(jìn)行安全評(píng)估的同時(shí)還要評(píng)估企業(yè)的”安全環(huán)境“,而這種”安全環(huán)境“風(fēng)險(xiǎn)的處置是資產(chǎn)所有者無能為力的。
3. 風(fēng)險(xiǎn)處置效果考慮 :由于風(fēng)險(xiǎn)處置所涉及組織的部門及角色很多,很多情況下資產(chǎn)所有者沒有足夠的能力或資源來進(jìn)行風(fēng)險(xiǎn)的有效處置,例如信息系統(tǒng)可能面臨 變更管理 不善所帶來的風(fēng)險(xiǎn),但完善變更管理這項(xiàng)處置措施并不一定是信息系統(tǒng)的所有者能夠去完成的,可能由組織的其他部門或角色(如IT服務(wù)管理部門)來進(jìn)行。也就是說,資產(chǎn)所有者只能針對(duì)資產(chǎn)本身存在的風(fēng)險(xiǎn)進(jìn)行處置,組織風(fēng)險(xiǎn)、過程風(fēng)險(xiǎn)的處置是資產(chǎn)所有者無法完成的。
總結(jié)下來,2013版ISO 27001針對(duì)”風(fēng)險(xiǎn)所有者(Risk owners)“的變化,主要是進(jìn)一步完善標(biāo)準(zhǔn)中關(guān)于風(fēng)險(xiǎn)管理理論的邏輯性,同時(shí)也實(shí)用性上進(jìn)一步加強(qiáng)了風(fēng)險(xiǎn)控制措施落實(shí)。
如何選擇風(fēng)險(xiǎn)所有者(Risk owners)
既然風(fēng)險(xiǎn)的所有者(Risk owners)對(duì)于風(fēng)險(xiǎn)管理如此之重要,那么,在進(jìn)行風(fēng)險(xiǎn)評(píng)估時(shí)該如何選擇風(fēng)險(xiǎn)的所有者呢?針對(duì)這個(gè)問題,我給出三個(gè)方面的原則建議:
1. 風(fēng)險(xiǎn)與職責(zé)直接相關(guān) :風(fēng)險(xiǎn)所有者最終負(fù)責(zé)風(fēng)險(xiǎn)的處置,那么最重要的當(dāng)然是這一風(fēng)險(xiǎn)要與風(fēng)險(xiǎn)所有者在職責(zé)上直接相關(guān),也就是說誰會(huì)為這個(gè)風(fēng)險(xiǎn)來”買單“,或者說這個(gè)風(fēng)險(xiǎn)不處置的話誰會(huì)受影響,這個(gè)人就是風(fēng)險(xiǎn)所有者。
2. 具有足夠高度與能力 :組織內(nèi)位置足夠高的崗位人員才有更強(qiáng)的風(fēng)險(xiǎn)處置推動(dòng)能力及協(xié)調(diào)資源能力,所以,在指定風(fēng)險(xiǎn)所有者時(shí)應(yīng)指定級(jí)別較高的管理人員,通常,風(fēng)險(xiǎn)所有者要比資產(chǎn)所有者的職位級(jí)別要高一些。
3. 明確到組織具體人員 :在識(shí)別資產(chǎn)所有者時(shí),很多組織都將所有者指定到部門(如IT部)而不是指定到個(gè)人,但確定風(fēng)險(xiǎn)所有者時(shí)并不建議這樣操作,相反,風(fēng)險(xiǎn)所有者一定要非常具體并指定到人。
恰當(dāng)?shù)淖R(shí)別資產(chǎn)所有者與風(fēng)險(xiǎn)所有者是組織需要仔細(xì)考慮的事情,合理的設(shè)置資產(chǎn)所有者、風(fēng)險(xiǎn)所有者不僅能使風(fēng)險(xiǎn)的處置更加容易,而且還能使風(fēng)險(xiǎn)處置活動(dòng)更加有效。
相關(guān)文章推薦
安全生產(chǎn)應(yīng)急預(yù)案中常見的風(fēng)險(xiǎn)是什么 落實(shí)貫徹安全生產(chǎn)應(yīng)急預(yù)案 iso20000認(rèn)證咨詢機(jī)構(gòu)該怎么選 警示 | 山東省26家iso認(rèn)證機(jī)構(gòu)檢查情況通報(bào)!58家公司證書認(rèn)證存在問題,涉及18家認(rèn)證機(jī)構(gòu)! 兩化融合認(rèn)證流程,兩化融合管理體系認(rèn)證咨詢流程綜述 ISO五大認(rèn)證:招投標(biāo)中的競爭利器 62號(hào)令最新食品相關(guān)產(chǎn)品質(zhì)量安全監(jiān)督管理暫行辦法 ISO9001質(zhì)量目標(biāo)要這樣建立、分解和展開! 雙碳大背景下,ISO 50001能源管理體系認(rèn)證對(duì)企業(yè)發(fā)展猶為重要! iso20000認(rèn)證條件是怎樣的需要哪些材料