ISO 27001：2013版标准深入解读：资产所有者（Asset owners）与风险所有者（Risk owners）

在ISO 27001：2013版标准中提出了一个新的概念"风险所有者（Risk owners）"，而ISO 27001：2005版标准中原有的"资产所有者（Asset owners）"的概念在新版标准中也同样是适用的，也就是说在ISO 27001：2013版标准中，同时定义了资产所有者（Asset owners）与风险所有者（Risk owners）两个概念。那么，如何理解这两个概念？这两个概念又有什么区别和联系呢？

如何理解资产所有者（Asset owners）

在2005版和2013版ISO 27001标准中都提到了"资产所有者（Asset owners）"的概念，什么是资产所有者？资产所有者是"已经获得管理层批准，负责生产、开发、维护、使用和保证资产安全的个人或实体。"通俗的理解，资产的所有者就是资产安全上的责任人，即确定资产的安全需求、对资产安全管控提出安全要求的人。

为什么指定资产所有者至关重要？因为如果不指定资产所有者，就没人对资产的安全负责，这样的话无法确保资产能够得到妥善的保护与管理，从而造成资产安全管理上的混乱与安全风险的不可控。

由于上述资产所有者的关键性，所以无论2005版还是2013版的ISO 27001标准中都要求识别资产所有者，然后再以资产为主线进行"基于资产的风险评估"，最终通过资产所有者落实风险处置措施来提高安全管控能力。

如何理解风险所有者（Risk owners）

那么，什么又是风险所有者（Risk owners）呢？风险所有者是"对风险管理持有权利和责任的个人或实体（person or entity with the accountability and authority to manage a risk.）。"通俗的理解，风险所有者就是希望能够控制某一风险，并且在组织中又有足够的权利和资源去处理这一风险的人。

既然有了资产所有者的概念，为什么还需要风险所有者呢？原因如下：

• 标准之间的兼容性：在ISO 31000风险管理标准中已经定义了"风险所有者"的概念，ISO 27001：2013版此次改版意在与其他相关的管理标准保证兼容性。

• 风险评估方法扩展：一直以来信息安全风险评估都是采用"基于资产的风险评估"方法，虽然在ISO 27001：2013版中以资产为出发点进行风险评估仍然是一种主导方法，但是，新版标准已经针对风险评估方法进行了扩展，在针对资产进行安全评估的同时还要评估企业的"安全环境"，而这种"安全环境"风险的处置是资产所有者无能为力的。

• 风险处置效果考虑：由于风险处置所涉及组织的部门及角色很多，很多情况下资产所有者没有足够的能力或资源来进行风险的有效处置，例如信息系统可能面临变更管理不善所带来的风险，但完善变更管理这项处置措施并不一定是信息系统的所有者能够去完成的，可能由组织的其他部门或角色（如IT服务管理部门）来进行。也就是说，资产所有者只能针对资产本身存在的风险进行处置，组织风险、过程风险的处置是资产所有者无法完成的。

总结下来，2013版ISO 27001针对"风险所有者（Risk owners）"的变化，主要是进一步完善标准中关于风险管理理论的逻辑性，同时也实用性上进一步加强了风险控制措施落实。

如何选择风险所有者（Risk owners）

既然风险的所有者（Risk owners）对于风险管理如此之重要，那么，在进行风险评估时该如何选择风险的所有者呢？针对这个问题，我给出三个方面的原则建议：

• 风险与职责直接相关：风险所有者最终负责风险的处置，那么最重要的当然是这一风险要与风险所有者在职责上直接相关，也就是说谁会为这个风险来"买单"，或者说这个风险不处置的话谁会受影响，这个人就是风险所有者。

• 具有足够高度与能力：组织内位置足够高的岗位人员才有更强的风险处置推动能力及协调资源能力，所以，在指定风险所有者时应指定级别较高的管理人员，通常，风险所有者要比资产所有者的职位级别要高一些。

• 明确到组织具体人员：在识别资产所有者时，很多组织都将所有者指定到部门（如IT部）而不是指定到个人，但确定风险所有者时并不建议这样操作，相反，风险所有者一定要非常具体并指定到人。

恰当的识别资产所有者与风险所有者是组织需要仔细考虑的事情，合理的设置资产所有者、风险所有者不仅能使风险的处置更加容易，而且还能使风险处置活动更加有效。