如何理解和选择ISO27001认证中的风险所有者？

如何理解和选择ISO27001认证中的风险所有者？
第一，如何理解资产所有者(Assetowners)
在2005年和2013年ISO27001年标准中，提到了资产所有者的概念。什么是资产所有者？资产所有者是经管理层批准，负责生产、开发、维护、使用和确保资产安全的个人或实体，一般认为，资产所有者是资产安全的负责人，即确定资产安全需求并对资产安全控制提出安全要求的人。

 

为什么指定资产所有者非常重要？因为如果没有指定资产所有者，就没有人对资产的安全负责，因此无法保证资产能够得到妥善的保护和管理，导致资产安全管理混乱，安全风险无法控制。

 

由于上述资产所有者的关键性，2005年和2013年ISO27001年标准都需要识别资产所有者，然后以资产为主线进行基于资产的风险评估，最终通过资产所有者实施风险处置措施来提高安全控制能力。

 

二、如何理解风险所有者(Riskowners)
风险所有者是持有风险管理权利和责任的个人或实体(personorentitywitheacountabityandautytomangearisk.)。一般来说，风险所有者是那些希望控制某种风险并有足够权利和资源处理该风险的人。

既然有资产所有者的概念，为什么还需要风险所有者？原因如下:
标准之间的兼容性:风险所有者的概念已经在ISO31000风险管理标准中定义，ISO27001:2013版旨在保证与其他相关管理标准的兼容性。

风险评估方法扩展:信息安全风险评估一直采用基于资产的风险评估方法。虽然在ISO27001:2013版中，以资产为出发点进行风险评估仍然是一种主导方法，但新标准扩大了风险评估方法，在评估资产的同时，也评估了企业的安全环境，这种安全环境的风险处置是资产所有者无能为力的。

考虑风险处置效果:由于风险处置涉及组织的部门和角色很多，很多情况下资产所有者没有足够的能力或资源来有效处置风险。比如信息系统可能面临变更管理不善带来的风险，但完善变更管理的处置措施不一定是信息系统所有者能够完成的，可能是由组织的其他部门或角色(如IT服务管理部门)来完成的。也就是说，资产所有者只能处置资产本身的风险，组织风险和过程风险的处置是资产所有者无法完成的。

综上所述，2013年ISO27001的变化主要是为了进一步提高标准中风险管理理论的逻辑性，进一步加强风险控制措施的实施。

 

三、如何选择风险所有者(Riskowners)
既然风险所有者(Riskowners)对风险管理如此重要，那么在风险评估中如何选择风险所有者呢？针对这一问题，提出了三个原则和建议:
风险与责任直接相关：风险所有者最终负责风险的处置，所以最重要的是风险应该直接关系到风险所有者的责任，也就是说谁会为风险买单，或者如果风险不处置，谁会受到影响，这个人就是风险所有者。

有足够的高度和能力：只有在组织中有足够高的职位，才能有更强的风险处置能力和协调资源的能力。因此，在指定风险所有者时，应指定高级管理人员。通常，风险所有者的职位水平高于资产所有者。

明确组织的具体人员：在识别资产所有者时，许多组织指定所有者到部门（如IT部门）而不是个人，但不建议确定风险所有者。相反，风险所有者必须非常具体，并指定人。

适当识别资产所有者和风险所有者是组织需要仔细考虑的问题。合理设置资产所有者不仅可以使风险处置更容易，而且可以使风险处置活动更有效。

如何理解和选择ISO27001认证中的风险所有者？