今天,全球企業面臨空前的信息(xi)安全風險,重(zhong)大信息(xi)泄露事故頻發,企業的信息(xi)安全管理水(shui)平������(ping)和防(fang)護能力(li)已(yi)經(jing)成為品牌和資產的基(ji)本保障。
作為世界上應用最廣泛與典型的信息安全管理標準,信息安全管理體系國際標準ISO27000能幫助眾多企業構建并優化其信息安全管理體系。同時,隨著國家對信息安全監管及企業自身信息安全需求的迫切性,通過ISO27001標準建設提升企業競爭力,培養企業自己的信息安全管理人才������,提高企業信息安全軟實力已經成為企業信息安全策略的重點之一。
截至(zhi)2016年10月,ISO2�����7001:2005正式作廢,取(qu)而代之的(de)(de)是2013版ISO27001,在(zai)ISO27001:2013版標(biao)(biao)(biao)準中提出了一個新的(de)(de)概(gai)念“風險(xian)所(suo)(suo)有(you)者(Risk owners)”,而ISO27001:2005版標(biao)(biao)(biao)準中原有(you)的(de)(de)“資(zi)產所(suo)(suo)有(you)者(Asset owners)”的(de)(de)概(gai)念在(zai)新版標(biao)(biao)(biao)準中也同樣(yang)是適用的(de)(de),也就是說在(zai)ISO 27001:2013版標(biao)(biao)(biao)準中,同時定義了資(zi)產所(suo)(suo)有(you)者(Asset owners)與風險(xian)所(suo)(suo)有(you)者(Risk owners)兩個概(gai)念。那么(me),如何理(li)解(jie)這兩個概(gai)念?這兩個概(gai)念又有(you)什么(me)區(qu)別(bie)和聯系呢?對這些問題(ti)的(de)(de)解(jie)答(da)有(you)助于我們理(li)解(jie)風險(xian)評估方法(fa)的(de)(de)擴展并提高風險(xian)處置效率。
一、如何理解資產所有者(Asset owners)
在2005版(ban)和2013版(ban)ISO 27001標準中都提到了“資(zi)(zi)產(ch�����an)所(suo)有(you)(you)者(Asset owners)”的(de)(de)概念,什么是資(zi)(zi)產(chan)所(suo)有(you)(you)者?資(zi)(zi)產(chan)所(suo)有(you)(yo������u)者是“已經獲得管(guan)理(li)層批準,負責(ze)生產(chan)、開發(fa)、維護(hu)、使(shi)用(yong)和保(bao)證資(zi)(zi)產(chan)安全(quan)的(de)(de)個人(ren)或(huo)實體。”通俗的(de)(de)理(li)解,資(zi)(zi)產(chan)的(de)(de)所(suo)有(you)(you)者就是資(zi)(zi)產(chan)安全(quan)上的(de)(de)責(ze)任人(ren),即確(que)定資(zi)(zi)產(chan)的(de)(de)安全(quan)需求、對資(zi)(zi)產(chan)安全(quan)管(guan)控提出(chu)安全(quan)要求的(de)(de)人(ren)。
為什么指定(ding)資(zi)產所有者至關重要?因為如果不指定(ding)資(zi)產所有者,就沒人對資(zi)產的(de)(de)安全(quan)負責,這(zhe)樣(yang)的(de)(de)話無法確保(bao)資(zi)產能夠得到(dao)妥善的(de)(d��������e)保(bao)護(hu)與管理(li)(li),從而造成(cheng)資(zi)產安全(quan)管理(li)(li)上(shang)的(de)(de)混亂與安全(qu�����an)風險的(de)(de)不可控(kong)。
由于(yu)上述資(zi)(zi)產所(suo)(suo)有(you)者(zhe)的關鍵性,所(suo)(suo)以(yi)無論2005版還是2013版的ISO 27001標準中都要(yao)求識別(bie)資(zi)(zi)產所(suo)(suo)有(you)者(zhe),然后再以(yi)資(zi)(zi)產為主線進行“基于(yu)資(zi)(zi)產的風(feng)險(xian)評估”,最(zui)終(z�����hong������)通過資(zi)(zi)產所(suo)(suo)有(you)者(zhe)落實風(feng)險(xian)處置措施來提高(gao)安全(quan)管控能(neng)力。
二、如何理解風險所有者(Risk owners)
風(feng)險(xian)(xian)所(suo)有(you)(you)者是“對(dui)風(feng)險(xian)(xian)管理��������持有(you)(you)權利和責任的個人(ren)或實(shi)體(person or entity withthe accountability and authority to manage a risk.)。”通俗的理解,風(feng)險(xian)(xian)所(suo)有(you)(you)者就(jiu)是希(xi)望能(neng)夠控制某一(yi)風(feng)險(xian)(xian),并且(qie)在(zai)組(zu)織中(zhong)又有(you)(you)足夠的權利和資源去處理這(zhe)一(yi)風(feng)險(xian)(xian)的人(ren)。
既然有(you)了資產(chan)所(suo)(suo)有(you)者(zhe)的(de)概念,為什么還需要風險所������(suo)(suo)有(you)者(zhe)呢?原因如下:
標(biao)準(zhun)之間的兼(jian)容性:在(zai)ISO 31000風險管理(li)標(biao)準(zhun)中已經定義了“風險所有者(zh������e)“的概念(nian),ISO 27001:2013版此次改(gai)版意(yi)在(zai)與(yu)其他(ta)相(xiang)關的管理(li)標(biao)準(zhun)保證兼(jian)容性。
風(feng)險(xian)評估方(fang)(fang)法(fa)擴(kuo)展:一(yi)直以來信息安(an)全(quan)(quan)風(feng)險(xian)評估都是(shi)采(cai)用(yong)“基于資(zi)產的(de)(de)(de)風(feng)險(xian)評估”方(fang)(fang)法(fa),雖(sui)然(ran)在ISO 27001:2013版中以資(zi)產為出發(fa)點(dian)進(jin)(jin)行(xing)風(feng)險(xia��������n)評估仍然(ran)是(shi)一(yi)種(zhong)主導方(fang)(fang)法(fa),但是(shi),新(xin)版標準已經針對風(feng)險(xian)評估方(fang)(fang)法(fa)進(jin)(jin)行(xing)了擴(kuo)展,在針對資(zi)產進(jin)(jin)行(xing)安(an)全(quan)(quan)評估的(de)(de)(de)同(tong)時(shi)還(huan)要評估企業的(de)(de)(de)”安(an)全(quan)(quan)環境“,而這(zhe)種(zhong)”安(an)全(quan)(quan)環境“風(feng)險(xian)的(de)(de)(de)處置(zhi)是(shi)資(zi)產所有(you)者無能為力(li)的(de)(de)(de)。
風(feng)(feng)險(xian)(xian)(xian)處(chu)置(zhi)效果考慮:由(you)于風(feng)(feng)險(xian)(xian)(xian)處(chu)置(zhi)所涉及(ji)組(zu)織的(de)(de)(de)部(bu)門(men)及(ji)角色很多(duo),很多(duo)情況下(xia)資(zi)產所有者沒有足夠的(de)(de)(de)能(neng)力或(huo)資(zi)源來進(jin)行(xing)(xing)風(feng)(feng)險(xian)(xian)(xian)的(de)(de)(de)有效處(chu)置(zhi),例如(ru)信息(xi)系統可(ke)能(neng)面臨變更管理不善(shan)所帶來的(de)(de)(de)風(feng)(f�������eng)險(xian)(xian)(xian),但完善(shan)變更管理這項處(chu)置(zhi)措(������cuo)施并不一定是信息(xi)系統的(de)(de)(de)所有者能(neng)夠去完成(cheng)的(de)(de)(de),可(ke)能(neng)由(you)組(zu)織的(de)(de)(de)其(qi)他(ta)部(bu)門(men)或(huo)角色(如(ru)IT服務(wu)管理部(bu)門(men))來進(jin)行(xing)(xing)。也(ye)就是說,資(zi)產所有者只能(neng)針對(dui)資(zi)產本(ben)身(shen)存(cun)在的(de)(de)(de)風(feng)(feng)險(xian)(xian)(xian)進(jin)行(xing)(xing)處(chu)置(zhi),組(zu)織風(feng)(feng)險(xian)(xian)(xian)、過(guo)程風(feng)(feng)險(xian)(xian)(xian)的(de)(de)(de)處(chu)置(zhi)是資(zi)產所有者無(wu)法完成(cheng)的(de)(de)(de)。
總結下來,2013版ISO 27001針(zhen)對”風(feng)險所(suo)有者(Risk owners)“的變化,主要是進一步完善標準中關于風(feng)險管理理論的邏輯性(xing),同(tong)時(shi)也實(shi)用性(xing)上進一步加強(qiang)����了風(feng)險控制措施落實(shi)。
三、如何選擇風險所有者(Risk owners)
既然風(feng)(feng)(feng)險的(de)所有者(Risk owners)對(dui)于風(feng)(feng)(feng)險管理如此之重要,那么,在(zai)進行風(feng)(feng)(f�����eng)險評估時該如何(he)選擇風(feng)(feng)(feng)險的(de)所有者呢?�������針對(dui)這個問題(ti),給(gei)出三個方面的(de)原則建(jian)議:
風險(xian)(xian)與職(zhi)(zhi)責直接相(xiang)(xiang)關:風險(xian)(xian)所有者(zhe)最(zui)終負責風險(xian)(xian)的(de)處置,那(nei)么(me)最(zui������)重要的(de)當(dang)然是這(zhe)一風險(xian)(xian)要與風險(xian)(xian)所有者(zhe)在職(zhi)(zhi)責上直接相(xiang)(xiang)關,也就是說誰會(hui)為這(zhe)個(ge)(ge)風險(xian)(xian)來“買單”,或者(zhe)說這(zhe)個(ge)(ge)風險(xian)(xian)不處置的(de)話誰會(hui)受影響,這(zhe)個(ge)(ge)人就是風險(xian)(xian)所有者(zhe)。
具有(you)足(zu)夠(gou)高(gao)度與能力:組織內位(wei)置(zhi)足(zu)夠(gou)高(gao)的崗位(wei)人(ren)員才有(you)更強的風險處置(zhi)推動能力及協調(diao)資源(yuan)������能力,所(suo)以(yi),在指(zhi)定風險所(suo)有(you)者時應指(zhi)定級別(bie)較高(gao)的管理人(ren)員,通(tong)常,風險所(suo)有(you)者要比資產(chan)所(suo)有(you)者的職位(wei)級別(bie)要高(gao)一些。
明確到(dao)(dao)組(zu)織(zhi)具(ju)體人員:在(zai)識(shi)別資產所(suo)有者(zhe)時,很多(duo)組(zu)織(zhi)都將所(suo)有者(�������zhe)指(zhi)定(ding)到(dao)(dao)部(bu)門(如IT部(bu))而(er)不是指(zhi)定(ding)到(dao)(dao)個人,但確定(ding)風(feng)險所(suo)有者(zhe)時并(bing)不建議這樣操(cao)作,相(xiang)反,風(feng)險所(suo)有者(zhe)一�����(yi)定(ding)要非(fei)常具(ju)體并(bing)指(zhi)定(ding)到(dao)(dao)人。
恰(qia)當(dang)的識別(b������ie)資(zi)產所(suo)有(you)(you)者(zhe)與風險(xian)(xian)所(suo)有(you)(you)者(zhe)是組織需要仔細考慮的事(shi)情(qing),合理的設置(zhi)資(zi)產所(suo)有(you)(you)者(zhe)、風險(xian)(xian)所(suo)有(you)(you)者(zhe)不(bu)僅能使風險(xian)(xian)的處(chu)置(zhi)更(geng)加容易(yi),而且(qie)還能使風險(xian)(xian)處(chu)置(zhi)活(huo)動更(geng)加有(�����you)(you)效。
0
賬號登錄