首頁 > 管理研究 > 標準解讀 > ISO27001標準中風險管理責任
                                                                            管理研究
                                                                                                        ISO27001標準中的信息資產風險管理責任   

                                                                                  在ISO27001新版標準中提出了一個新的概念“風險所有者”,而ISO27001:2005版標準中原有的“資產所有者”的概念在新版標準中也同樣是適用的,也就是說在ISO27001新版標準中,同時定義了“資產所有者”與“風險所有者”兩個概念,關鍵作用是進一步明確和落實風險管理責任。

                                                                            一、如何理解資產所有者
                                                                                資產所有者是“已經獲得管理層批準,負責生產、開發、維護、使用和保證資產安全的個人或實體。”資產的所有者就是資產安全上的責任人,即確定資產的安全需求、對資產安全管控提出安全要求的人。如果不指定資產所有者,就沒人對資產的安全負責,這樣的話無法確保資產能夠得到妥善的保護與管理,從而造成資產安全管理上的混亂與安全風險的不可控。

                                                                            二、如何理解風險所有者
                                                                                   風險所有者是“對風險管理持有權利和責任的個人或實體。”風險所有者就是希望能夠控制某一風險,并且在組織中又有足夠的權利和資源去處理這一風險的人,通??梢岳斫鉃椴块T或公司領導。

                                                                            三、兩者的關系
                                                                                  既然有了資產所有者的概念,為什么還需要風險所有者呢?原因如下:標準之間的兼容性:在ISO 31000風險管理標準中已經定義了“風險所有者”的概念,ISO27001:2013版此次改版意在與其他相關的管理標準保證兼容性。
                                                                            • 風險評估方法擴展:一直以來信息安全風險評估都是采用“基于資產的風險評估”方法,雖然在ISO27001:2013版中以資產為出發點進行風險評估仍然是一種主導方法,但是,新版標準已經針對風險評估方法進行了擴展,在針對資產進行安全評估的同時還要評估企業的“安全環境”,而這種“安全環境”風險的處置是資產所有者無能為力的。
                                                                            • 風險處置效果考慮:由于風險處置所涉及組織的部門及角色很多,很多情況下資產所有者沒有足夠的能力或資源來進行風險的有效處置,例如信息系統可能面臨變更管理不善所帶來的風險,但完善變更管理這項處置措施并不一定是信息系統的所有者能夠去完成的,可能由組織的其他部門或角色(如IT服務管理部門)來進行。也就是說,資產所有者只能針對資產本身存在的風險進行處置,組織風險、過程風險的處置是資產所有者無法完成的,必須是風險的所有者(即部門或公司領導)根據其對風險的接受程度才可能解決的。
                                                                                   2013版ISO 27001針對“風險所有者”的變化,主要是進一步完善標準中關于風險管理理論的邏輯性,同時也實用性上進一步加強了風險控制措施落實的責任。

                                                                            四、如何確定風險所有者
                                                                                   既然風險的所有者對于風險管理如此之重要,那么,在進行風險評估時該如何選擇風險的所有者呢?針對這個問題,有三個方面的原則建議:
                                                                            • 風險與職責直接相關:風險所有者最終負責風險的處置,那么最重要的當然是這一風險要與風險所有者在職責上直接相關,也就是說誰會為這個風險來“買單”,或者說這個風險不處置的話誰會受影響,這個人就是風險所有者。
                                                                            • 具有足夠高度與能力:組織內位置足夠高的崗位人員才有更強的風險處置推動能力及協調資源能力,所以,在指定風險所有者時應指定級別較高的管理人員,通常,風險所有者要比資產所有者的職位級別要高一些。
                                                                            • 明確到組織具體人員:在識別資產所有者時,很多組織都將所有者指定到部門(如IT部)而不是指定到個人,但確定風險所有者時并不建議這樣操作,相反,風險所有者一定要非常具體并指定到人。
                                                                                   全面的識別資產所有者風險所有者是組織需要仔細考慮的事情,合理的設置資產所有者、風險所有者不僅能使風險的處置更加容易,而且還能使風險處置活動更加有效。

                                                                            QQ咨詢
                                                                            電話咨詢
                                                                            微信咨詢
                                                                            微信咨詢
                                                                            留言咨詢
                                                                            回到頂部
                                                                            留言反饋
                                                                            *
                                                                            *
                                                                            *
                                                                            *
                                                                            *
                                                                            爆乳美女特黄特色的视频_日韩欧美亚免费高清视频_男女作爱网站免费_免费网站国产一级