如何理解资产所有者(Asset owners) 在2005版和2013版ISO 27001标准中都提到了“资产所有者(Asset owners)”的概念,什么是资产所有者?资产所有者是“已经获得管理层批准,负责生产、开发、维护、使用和保证资产安全的个人或实体。”通俗的理解,资产的所有者就是资产安全上的责任人,即确定资产的安全需求、对资产安全管控提出安全要求的人。 为什么指定资产所有者至关重要?因为如果不指定资产所有者,就没人对资产的安全负责,这样的话无法确保资产能够得到妥善的保护与管理,从而造成资产安全管理上的混乱与安全风险的不可控。 由于上述资产所有者的关键性,所以无论2005版还是2013版的ISO 27001标准中都要求识别资产所有者,然后再以资产为主线进行“基于资产的风险评估”,最终通过资产所有者落实风险处置措施来提高安全管控能力。 如何理解风险所有者(Risk owners) 那么,什么又是风险所有者(Risk owners)呢?风险所有者是“对风险管理持有权利和责任的个人或实体(person or entity with the accountability and authority to manage a risk.)。”通俗的理解,风险所有者就是希望能够控制某一风险,并且在组织中又有足够的权利和资源去处理这一风险的人。 既然有了资产所有者的概念,为什么还需要风险所
继续阅读 →