今天,全球企業(yè)面臨空前的信息安全風(fēng)險�,重大信息泄露事故頻發(fā)��,企業(yè)的信息安全管理水平和防護(hù)能力已經(jīng)成為品牌和資產(chǎn)的基本保障。
作為世界上應(yīng)用最廣泛與典型的信息安全管理標(biāo)準(zhǔn),信息安全管理體系國際標(biāo)準(zhǔn)ISO27000能幫助眾多企業(yè)構(gòu)建并優(yōu)化其信息安全管理體系��。同時����,隨著國家對信息安全監(jiān)管及企業(yè)自身信息安全需求的迫切性,通過ISO27001標(biāo)準(zhǔn)建設(shè)提升企業(yè)競爭力,培養(yǎng)企業(yè)自己的信息安全管理人才����,提高企業(yè)信息安全軟實力已經(jīng)成為企業(yè)信息安全策略的重點之一�����。
截至2016年10月,ISO27001:2005正式作廢,取而代之的是2013版ISO27001����,在ISO27001:2013版標(biāo)準(zhǔn)中提出了一個新的概念“風(fēng)險所有者(Risk owners)”,而ISO27001:2005版標(biāo)準(zhǔn)中原有的“資產(chǎn)所有者(Asset owners)”的概念在新版標(biāo)準(zhǔn)中也同樣是適用的�,也就是說在ISO 27001:2013版標(biāo)準(zhǔn)中���,同時定義了資產(chǎn)所有者(Asset owners)與風(fēng)險所有者(Risk owners)兩個概念�����。那么,如何理解這兩個概念�?這兩個概念又有什么區(qū)別和聯(lián)系呢����?對這些問題的解答有助于我們理解風(fēng)險評估方法的擴(kuò)展并提高風(fēng)險處置效率�����。
一�、如何理解資產(chǎn)所有者(Asset owners)
在2005版和2013版ISO 27001標(biāo)準(zhǔn)中都提到了“資產(chǎn)所有者(Asset owners)”的概念����,什么是資產(chǎn)所有者?資產(chǎn)所有者是“已經(jīng)獲得管理層批準(zhǔn)�����,負(fù)責(zé)生產(chǎn)、開發(fā)����、維護(hù)����、使用和保證資產(chǎn)安全的個人或?qū)嶓w��。”通俗的理解�����,資產(chǎn)的所有者就是資產(chǎn)安全上的責(zé)任人����,即確定資產(chǎn)的安全需求、對資產(chǎn)安全管控提出安全要求的人���。
為什么指定資產(chǎn)所有者至關(guān)重要?因為如果不指定資產(chǎn)所有者���,就沒人對資產(chǎn)的安全負(fù)責(zé),這樣的話無法確保資產(chǎn)能夠得到妥善的保護(hù)與管理���,從而造成資產(chǎn)安全管理上的混亂與安全風(fēng)險的不可控。
由于上述資產(chǎn)所有者的關(guān)鍵性�����,所以無論2005版還是2013版的ISO 27001標(biāo)準(zhǔn)中都要求識別資產(chǎn)所有者��,然后再以資產(chǎn)為主線進(jìn)行“基于資產(chǎn)的風(fēng)險評估”����,最終通過資產(chǎn)所有者落實風(fēng)險處置措施來提高安全管控能力���。
二���、如何理解風(fēng)險所有者(Risk owners)
風(fēng)險所有者是“對風(fēng)險管理持有權(quán)利和責(zé)任的個人或?qū)嶓w(person or entity withthe accountability and authority to manage a risk.)���?���!蓖ㄋ椎睦斫?���,風(fēng)險所有者就是希望能夠控制某一風(fēng)險,并且在組織中又有足夠的權(quán)利和資源去處理這一風(fēng)險的人。
既然有了資產(chǎn)所有者的概念���,為什么還需要風(fēng)險所有者呢?原因如下:
標(biāo)準(zhǔn)之間的兼容性:在ISO 31000風(fēng)險管理標(biāo)準(zhǔn)中已經(jīng)定義了“風(fēng)險所有者“的概念,ISO 27001:2013版此次改版意在與其他相關(guān)的管理標(biāo)準(zhǔn)保證兼容性�����。
風(fēng)險評估方法擴(kuò)展:一直以來信息安全風(fēng)險評估都是采用“基于資產(chǎn)的風(fēng)險評估”方法����,雖然在ISO 27001:2013版中以資產(chǎn)為出發(fā)點進(jìn)行風(fēng)險評估仍然是一種主導(dǎo)方法,但是,新版標(biāo)準(zhǔn)已經(jīng)針對風(fēng)險評估方法進(jìn)行了擴(kuò)展����,在針對資產(chǎn)進(jìn)行安全評估的同時還要評估企業(yè)的”安全環(huán)境“��,而這種”安全環(huán)境“風(fēng)險的處置是資產(chǎn)所有者無能為力的。
風(fēng)險處置效果考慮:由于風(fēng)險處置所涉及組織的部門及角色很多�����,很多情況下資產(chǎn)所有者沒有足夠的能力或資源來進(jìn)行風(fēng)險的有效處置�,例如信息系統(tǒng)可能面臨變更管理不善所帶來的風(fēng)險,但完善變更管理這項處置措施并不一定是信息系統(tǒng)的所有者能夠去完成的,可能由組織的其他部門或角色(如IT服務(wù)管理部門)來進(jìn)行�。也就是說����,資產(chǎn)所有者只能針對資產(chǎn)本身存在的風(fēng)險進(jìn)行處置,組織風(fēng)險���、過程風(fēng)險的處置是資產(chǎn)所有者無法完成的���。
總結(jié)下來��,2013版ISO 27001針對”風(fēng)險所有者(Risk owners)“的變化��,主要是進(jìn)一步完善標(biāo)準(zhǔn)中關(guān)于風(fēng)險管理理論的邏輯性,同時也實用性上進(jìn)一步加強(qiáng)了風(fēng)險控制措施落實。
三����、如何選擇風(fēng)險所有者(Risk owners)
既然風(fēng)險的所有者(Risk owners)對于風(fēng)險管理如此之重要����,那么����,在進(jìn)行風(fēng)險評估時該如何選擇風(fēng)險的所有者呢?針對這個問題,給出三個方面的原則建議:
風(fēng)險與職責(zé)直接相關(guān):風(fēng)險所有者最終負(fù)責(zé)風(fēng)險的處置����,那么最重要的當(dāng)然是這一風(fēng)險要與風(fēng)險所有者在職責(zé)上直接相關(guān)���,也就是說誰會為這個風(fēng)險來“買單”��,或者說這個風(fēng)險不處置的話誰會受影響,這個人就是風(fēng)險所有者。
具有足夠高度與能力:組織內(nèi)位置足夠高的崗位人員才有更強(qiáng)的風(fēng)險處置推動能力及協(xié)調(diào)資源能力,所以���,在指定風(fēng)險所有者時應(yīng)指定級別較高的管理人員,通常,風(fēng)險所有者要比資產(chǎn)所有者的職位級別要高一些�。
明確到組織具體人員:在識別資產(chǎn)所有者時�,很多組織都將所有者指定到部門(如IT部)而不是指定到個人��,但確定風(fēng)險所有者時并不建議這樣操作�,相反�����,風(fēng)險所有者一定要非常具體并指定到人。
恰當(dāng)?shù)淖R別資產(chǎn)所有者與風(fēng)險所有者是組織需要仔細(xì)考慮的事情��,合理的設(shè)置資產(chǎn)所有者���、風(fēng)險所有者不僅能使風(fēng)險的處置更加容易���,而且還能使風(fēng)險處置活動更加有效�����。
0
賬號登錄