ISO27001標(biāo)準(zhǔn)中的信息資產(chǎn)風(fēng)險管理責(zé)任   

      在ISO27001新版標(biāo)準(zhǔn)中提出了一個新的概念“風(fēng)險所有者”，而ISO27001：2005版標(biāo)準(zhǔn)中原有的“資產(chǎn)所有者”的概念在新版標(biāo)準(zhǔn)中也同樣是適用的，也就是說在ISO27001新版標(biāo)準(zhǔn)中，同時定義了“資產(chǎn)所有者”與“風(fēng)險所有者”兩個概念，關(guān)鍵作用是進一步明確和落實風(fēng)險管理責(zé)任。

一、如何理解資產(chǎn)所有者
    資產(chǎn)所有者是“已經(jīng)獲得管理層批準(zhǔn)，負(fù)責(zé)生產(chǎn)、開發(fā)、維護、使用和保證資產(chǎn)安全的個人或?qū)嶓w。”資產(chǎn)的所有者就是資產(chǎn)安全上的責(zé)任人，即確定資產(chǎn)的安全需求、對資產(chǎn)安全管控提出安全要求的人。如果不指定資產(chǎn)所有者，就沒人對資產(chǎn)的安全負(fù)責(zé)，這樣的話無法確保資產(chǎn)能夠得到妥善的保護與管理，從而造成資產(chǎn)安全管理上的混亂與安全風(fēng)險的不可控。

二、如何理解風(fēng)險所有者
       風(fēng)險所有者是“對風(fēng)險管理持有權(quán)利和責(zé)任的個人或?qū)嶓w。”風(fēng)險所有者就是希望能夠控制某一風(fēng)險，并且在組織中又有足夠的權(quán)利和資源去處理這一風(fēng)險的人，通?？梢岳斫鉃椴块T或公司領(lǐng)導(dǎo)。

三、兩者的關(guān)系
      既然有了資產(chǎn)所有者的概念，為什么還需要風(fēng)險所有者呢？原因如下：標(biāo)準(zhǔn)之間的兼容性：在ISO 31000風(fēng)險管理標(biāo)準(zhǔn)中已經(jīng)定義了“風(fēng)險所有者”的概念，ISO27001：2013版此次改版意在與其他相關(guān)的管理標(biāo)準(zhǔn)保證兼容性。

• 風(fēng)險評估方法擴展：一直以來信息安全風(fēng)險評估都是采用“基于資產(chǎn)的風(fēng)險評估”方法，雖然在ISO27001：2013版中以資產(chǎn)為出發(fā)點進行風(fēng)險評估仍然是一種主導(dǎo)方法，但是，新版標(biāo)準(zhǔn)已經(jīng)針對風(fēng)險評估方法進行了擴展，在針對資產(chǎn)進行安全評估的同時還要評估企業(yè)的“安全環(huán)境”，而這種“安全環(huán)境”風(fēng)險的處置是資產(chǎn)所有者無能為力的。
• 風(fēng)險處置效果考慮：由于風(fēng)險處置所涉及組織的部門及角色很多，很多情況下資產(chǎn)所有者沒有足夠的能力或資源來進行風(fēng)險的有效處置，例如信息系統(tǒng)可能面臨變更管理不善所帶來的風(fēng)險，但完善變更管理這項處置措施并不一定是信息系統(tǒng)的所有者能夠去完成的，可能由組織的其他部門或角色（如IT服務(wù)管理部門）來進行。也就是說，資產(chǎn)所有者只能針對資產(chǎn)本身存在的風(fēng)險進行處置，組織風(fēng)險、過程風(fēng)險的處置是資產(chǎn)所有者無法完成的，必須是風(fēng)險的所有者（即部門或公司領(lǐng)導(dǎo)）根據(jù)其對風(fēng)險的接受程度才可能解決的。

       2013版ISO 27001針對“風(fēng)險所有者”的變化，主要是進一步完善標(biāo)準(zhǔn)中關(guān)于風(fēng)險管理理論的邏輯性，同時也實用性上進一步加強了風(fēng)險控制措施落實的責(zé)任。

四、如何確定風(fēng)險所有者
       既然風(fēng)險的所有者對于風(fēng)險管理如此之重要，那么，在進行風(fēng)險評估時該如何選擇風(fēng)險的所有者呢？針對這個問題，有三個方面的原則建議：

• 風(fēng)險與職責(zé)直接相關(guān)：風(fēng)險所有者最終負(fù)責(zé)風(fēng)險的處置，那么最重要的當(dāng)然是這一風(fēng)險要與風(fēng)險所有者在職責(zé)上直接相關(guān)，也就是說誰會為這個風(fēng)險來“買單”，或者說這個風(fēng)險不處置的話誰會受影響，這個人就是風(fēng)險所有者。
• 具有足夠高度與能力：組織內(nèi)位置足夠高的崗位人員才有更強的風(fēng)險處置推動能力及協(xié)調(diào)資源能力，所以，在指定風(fēng)險所有者時應(yīng)指定級別較高的管理人員，通常，風(fēng)險所有者要比資產(chǎn)所有者的職位級別要高一些。
• 明確到組織具體人員：在識別資產(chǎn)所有者時，很多組織都將所有者指定到部門（如IT部）而不是指定到個人，但確定風(fēng)險所有者時并不建議這樣操作，相反，風(fēng)險所有者一定要非常具體并指定到人。

       全面的識別資產(chǎn)所有者與風(fēng)險所有者是組織需要仔細考慮的事情，合理的設(shè)置資產(chǎn)所有者、風(fēng)險所有者不僅能使風(fēng)險的處置更加容易，而且還能使風(fēng)險處置活動更加有效。