今天,全球企业面临空前的信息安全风险,重大信息泄露事故频发,企业的信息安全管理水平和防护能力已经成为品牌和资产的基本保障。同时,随着国家对信息安全监管及企业自身信息安全需求的迫切性,通过ISO27001标准建设提升企业竞争力,培养企业自己的信息安全管理人才,提高企业信息安全软实力已经成为企业信息安全策略的重点之一。
在ISO27001中发现新版(ISO27001:2013)与旧版(ISO27001:2005)标准之间存在一些概念定义上的差异:
在ISO 27001:2013版标准中提出了一个新的概念“风险所有者(Risk owners)”,而ISO 27001:2005版标准中原有的“资产所有者(Asset owners)”的概念在新版标准中也同样是适用的,也就是说在ISO 27001:2013版标准中,同时定义了资产所有者(Asset owners)与风险所有者(Risk owners)两个概念。那么,如何理解这两个概念?这两个概念又有什么区别和联系呢?
对这些问题的解答有助于我们理解风险评估方法的扩展并提高风险处置效率,以下特撰文与安全牛的读者分享,也欢迎读者给我来信互动:
如何理解资产所有者(Asset owners)
在2005版和2013版ISO 27001标准中都提到了“资产所有者(Asset owners)”的概念,什么是资产所有者?资产所有者是“已经获得管理层批准,负责生产、开发、维护、使用和保证资产安全的个人或实体。”通俗的理解,资产的所有者就是资产安全上的责任人,即确定资产的安全需求、对资产安全管控提出安全要求的人。
为什么指定资产所有者至关重要?因为如果不指定资产所有者,就没人对资产的安全负责,这样的话无法确保资产能够得到妥善的保护与管理,从而造成资产安全管理上的混乱与安全风险的不可控。
由于上述资产所有者的关键性,所以无论2005版还是2013版的ISO 27001标准中都要求识别资产所有者,然后再以资产为主线进行“基于资产的风险评估”,最终通过资产所有者落实风险处置措施来提高安全管控能力。
如何理解风险所有者(Risk owners)
那么,什么又是风险所有者(Risk owners)呢?风险所有者是“对风险管理持有权利和责任的个人或实体(person or entity with the accountability and authority to manage a risk.)。”通俗的理解,风险所有者就是希望能够控制某一风险,并且在组织中又有足够的权利和资源去处理这一风险的人。
既然有了资产所有者的概念,为什么还需要风险所有者呢?原因如下:
总结下来,2013版ISO 27001针对”风险所有者(Risk owners)“的变化,主要是进一步完善标准中关于风险管理理论的逻辑性,同时也实用性上进一步加强了风险控制措施落实。
如何选择风险所有者(Risk owners)
既然风险的所有者(Risk owners)对于风险管理如此之重要,那么,在进行风险评估时该如何选择风险的所有者呢?针对这个问题,我给出三个方面的原则建议:
恰当的识别资产所有者与风险所有者是组织需要仔细考虑的事情,合理的设置资产所有者、风险所有者不仅能使风险的处置更加容易,而且还能使风险处置活动更加有效。
订单提交后,10分钟内,我们将安排工作人员和您联系!
金华市兰研企业管理咨询有限公司
联系人:邹经理
热线:133-3591-7830
QQ:872176838
地址:金华市明招国际大厦11003室