今天��,全球企業面臨空前的信息安全風險�,重大信息泄露事故頻發��,企業的信息安全管理水平和防護能力已經成為品牌和資產的基本保障�。同時��,隨著國家對信息安全監管及企業自身信息安全需求的迫切性�,通過ISO27001標準建設提升企業競爭力�,培養企業自己的信息安全管理人才��,提高企業信息安全軟實力已經成為企業信息安全策略的重點之一�。
在ISO27001中發現新版(ISO27001:2013)與舊版(ISO27001:2005)標準之間存在一些概念定義上的差異:
在ISO 27001:2013版標準中提出了一個新的概念“風險所有者(Risk owners)”�,而ISO 27001:2005版標準中原有的“資產所有者(Asset owners)”的概念在新版標準中也同樣是適用的��,也就是說在ISO 27001:2013版標準中��,同時定義了資產所有者(Asset owners)與風險所有者(Risk owners)兩個概念��。那么��,如何理解這兩個概念��?這兩個概念又有什么區別和聯系呢�?
對這些問題的解答有助于我們理解風險評估方法的擴展并提高風險處置效率��,以下特撰文與安全牛的讀者分享�,也歡迎讀者給我來信互動:
如何理解資產所有者(Asset owners)
在2005版和2013版ISO 27001標準中都提到了“資產所有者(Asset owners)”的概念�,什么是資產所有者��?資產所有者是“已經獲得管理層批準��,負責生產��、開發��、維護�、使用和保證資產安全的個人或實體��?!蓖ㄋ椎睦斫?,資產的所有者就是資產安全上的責任人��,即確定資產的安全需求�、對資產安全管控提出安全要求的人��。
為什么指定資產所有者至關重要�?因為如果不指定資產所有者�,就沒人對資產的安全負責��,這樣的話無法確保資產能夠得到妥善的保護與管理�,從而造成資產安全管理上的混亂與安全風險的不可控��。
由于上述資產所有者的關鍵性��,所以無論2005版還是2013版的ISO 27001標準中都要求識別資產所有者�,然后再以資產為主線進行“基于資產的風險評估”��,最終通過資產所有者落實風險處置措施來提高安全管控能力��。
如何理解風險所有者(Risk owners)
那么��,什么又是風險所有者(Risk owners)呢��?風險所有者是“對風險管理持有權利和責任的個人或實體(person or entity with the accountability and authority to manage a risk.)�?!蓖ㄋ椎睦斫?�,風險所有者就是希望能夠控制某一風險��,并且在組織中又有足夠的權利和資源去處理這一風險的人�。
既然有了資產所有者的概念��,為什么還需要風險所有者呢�?原因如下:
- 標準之間的兼容性:在ISO 31000風險管理標準中已經定義了“風險所有者“的概念��,ISO 27001:2013版此次改版意在與其他相關的管理標準保證兼容性��。
- 風險評估方法擴展:一直以來信息安全風險評估都是采用“基于資產的風險評估”方法�,雖然在ISO 27001:2013版中以資產為出發點進行風險評估仍然是一種主導方法��,但是��,新版標準已經針對風險評估方法進行了擴展��,在針對資產進行安全評估的同時還要評估企業的”安全環境“�,而這種”安全環境“風險的處置是資產所有者無能為力的��。
- 風險處置效果考慮:由于風險處置所涉及組織的部門及角色很多�,很多情況下資產所有者沒有足夠的能力或資源來進行風險的有效處置�,例如信息系統可能面臨變更管理不善所帶來的風險�,但完善變更管理這項處置措施并不一定是信息系統的所有者能夠去完成的��,可能由組織的其他部門或角色(如IT服務管理部門)來進行�。也就是說��,資產所有者只能針對資產本身存在的風險進行處置�,組織風險�、過程風險的處置是資產所有者無法完成的��。
總結下來�,2013版ISO 27001針對”風險所有者(Risk owners)“的變化��,主要是進一步完善標準中關于風險管理理論的邏輯性��,同時也實用性上進一步加強了風險控制措施落實��。
如何選擇風險所有者(Risk owners)
既然風險的所有者(Risk owners)對于風險管理如此之重要�,那么�,在進行風險評估時該如何選擇風險的所有者呢�?針對這個問題��,我給出三個方面的原則建議:
- 風險與職責直接相關:風險所有者最終負責風險的處置��,那么最重要的當然是這一風險要與風險所有者在職責上直接相關�,也就是說誰會為這個風險來”買單“��,或者說這個風險不處置的話誰會受影響��,這個人就是風險所有者�。
- 具有足夠高度與能力:組織內位置足夠高的崗位人員才有更強的風險處置推動能力及協調資源能力��,所以�,在指定風險所有者時應指定級別較高的管理人員��,通常�,風險所有者要比資產所有者的職位級別要高一些�。
- 明確到組織具體人員:在識別資產所有者時�,很多組織都將所有者指定到部門(如IT部)而不是指定到個人��,但確定風險所有者時并不建議這樣操作��,相反��,風險所有者一定要非常具體并指定到人��。
恰當的識別資產所有者與風險所有者是組織需要仔細考慮的事情�,合理的設置資產所有者��、風險所有者不僅能使風險的處置更加容易��,而且還能使風險處置活動更加有效�。
