ISO27001新标准解读
作者:警司    发表于:2020-10-12 20:21:33    字符:【】【】【
摘要:资产所有者是“已获管理层批准,负责生产、开发、维护、使用和保护资产的个人或实体。”
类似何理解资产所有者(Asset owners)
  在2005编辑和2013版ISO 27001标准中都提到了“资产所有者(Asset owners)”概念,资产的所有者是什么??资产所有者是“已获管理层批准,负责生产、开发、维护、使用和保护资产的个人或实体。”通俗的理解,资产所有人是负责资产安全的人,这意味着,确定资产的安全性要求、对资产安全控制提出安全要求的人。 
    为什么指定资产的所有者很重要??因为类似果你不指定资产的所有者,,没有人对资产的安全负责,这样,就不能保证资产能够得到适当的保护和管理,由此造成了资产安全管理的混乱和安全风险的不可控。 
因为上述资产的所有者的重要性,因此无论2005版本或2013版本ISO 27001所有的标准都要求识别资产所有者,然后以资产为主线“资产风险评估”,最后,通过实施资产所有者的风险处理措施,提高香港特区总站的安全控制能力。
类似何理解风险所有者(Risk owners) 
所以,风险的所有者是什么?(Risk owners)羊毛 ?风险的所有者是“具有风险管理权利和责任的个人或实体(person or entity with the accountability and authority to manage a risk.)。”通俗的理解,风险的所有者只是希望能够控制特定的风险,并在组织中拥有足够的权利和资源来应对这种风险。
既然你有了资产所有者概念,,为什么你需要一个风险所有者??原因类似下:
1. 标准之间的兼容性 :在ISO 31000已确定了风险管理标准“风险所有者“概念,ISO 27001:2013修订的目的是确保与其他相关管理标准的兼容性。
2. 风险评估方式的推广 :一直以来,信息安全风险评估都是在使用信息安全风险评估的基础上进行的“资产风险评估”方式,虽然在ISO 27001:2013资产风险评估仍是该版本的主要方式,但是,新标准已扩展到风险评估方式,在对资产进行安全评估的同时,还需要评估”安全环境“,而这种”安全环境“对资产所有者来说,风险的处置是无能为力的。
3. 对风险处理效果的考虑 :因为风险管理涉及到组织的许多部门和角色,在许多情况下,资产所有者没有足够的能力或资源有效地应对风险,例类似,信息系统可能面临 变革管理 不幸的风险,但是,改进变革管理并不一定是信息系统所有者可以做的事情,可能是组织的其他部门或角色(类似IT服务管理处)去做这件事。这意味着,资产所有者只能处置资产本身固有的风险,组织风险、过程风险的处置超出了资产所有者的能力范围。
要而论之,,2013版ISO 27001作为对”风险所有者(Risk owners)“变化,主要目的是进一步完善风险管理理论在规范中的逻辑,同时,还进一步加强了风险控制措施的实施。
类似何选择风险所有者(Risk owners)
因为风险的拥有者(Risk owners)对风险管理类似此重要,所以,在进行风险评估时,类似何选择风险的所有者??来解决这个问题,我想给出三个原则和建议:
1. 风险与责任直接相关 :风险的所有者最终要对风险的处理负责,因此最重要的是,当然,风险直接关系到风险所有者的责任,这意味着,谁来冒这个险?”付账单“,类似果不处理风险,谁会受到影响?,这个人是风险的拥有者。
2. 有足够的身高和能力 :为了增强促进风险管理和协调资源的能力,组织中职位足够高的人将有更强的能力来促进风险管理和资源协调,因此,指定风险所有者时,应指定更高级别的管理,通常,风险所有者略高于资产所有者。
3. 对具体人员的组织清楚 :在识别资产所有者时,许多组织将业主分配给部门(类似IT部)而不是分配给一个人,但是,在确定风险的所有者时不建议这样做,相反,风险所有者必须非常具体,并指定给该人。
正确识别资产所有者和风险的所有者是组织需要仔细考虑的问题,资产所有者的合理设置、风险的所有者不仅可以更容易地处理风险,它可以使风险管理活动更加有效。
脚注信息
版权 Copyright(C)2009-2018 香港特区总站