如何理解和選擇ISO27001認證中的風險所有者？
第一，如何理解資產所有者(Assetowners)
在2005年和2013年ISO27001年標準中，提到了資產所有者的概念。什么是資產所有者？資產所有者是經管理層批準，負責生產、開發、維護、使用和確保資產安全的個人或實體，一般認為，資產所有者是資產安全的負責人，即確定資產安全需求并對資產安全控制提出安全要求的人。

 

為什么指定資產所有者非常重要？因為如果沒有指定資產所有者，就沒有人對資產的安全負責，因此無法保證資產能夠得到妥善的保護和管理，導致資產安全管理混亂，安全風險無法控制。

 

由于上述資產所有者的關鍵性，2005年和2013年ISO27001年標準都需要識別資產所有者，然后以資產為主線進行基于資產的風險評估，最終通過資產所有者實施風險處置措施來提高安全控制能力。

 

二、如何理解風險所有者(Riskowners)
風險所有者是持有風險管理權利和責任的個人或實體(personorentitywitheacountabityandautytomangearisk.)。一般來說，風險所有者是那些希望控制某種風險并有足夠權利和資源處理該風險的人。

既然有資產所有者的概念，為什么還需要風險所有者？原因如下:
標準之間的兼容性:風險所有者的概念已經在ISO31000風險管理標準中定義，ISO27001:2013版旨在保證與其他相關管理標準的兼容性。

風險評估方法擴展:信息安全風險評估一直采用基于資產的風險評估方法。雖然在ISO27001:2013版中，以資產為出發點進行風險評估仍然是一種主導方法，但新標準擴大了風險評估方法，在評估資產的同時，也評估了企業的安全環境，這種安全環境的風險處置是資產所有者無能為力的。

考慮風險處置效果:由于風險處置涉及組織的部門和角色很多，很多情況下資產所有者沒有足夠的能力或資源來有效處置風險。比如信息系統可能面臨變更管理不善帶來的風險，但完善變更管理的處置措施不一定是信息系統所有者能夠完成的，可能是由組織的其他部門或角色(如IT服務管理部門)來完成的。也就是說，資產所有者只能處置資產本身的風險，組織風險和過程風險的處置是資產所有者無法完成的。

綜上所述，2013年ISO27001的變化主要是為了進一步提高標準中風險管理理論的邏輯性，進一步加強風險控制措施的實施。

 

三、如何選擇風險所有者(Riskowners)
既然風險所有者(Riskowners)對風險管理如此重要，那么在風險評估中如何選擇風險所有者呢？針對這一問題，提出了三個原則和建議:
風險與責任直接相關：風險所有者最終負責風險的處置，所以最重要的是風險應該直接關系到風險所有者的責任，也就是說誰會為風險買單，或者如果風險不處置，誰會受到影響，這個人就是風險所有者。

有足夠的高度和能力：只有在組織中有足夠高的職位，才能有更強的風險處置能力和協調資源的能力。因此，在指定風險所有者時，應指定高級管理人員。通常，風險所有者的職位水平高于資產所有者。

明確組織的具體人員：在識別資產所有者時，許多組織指定所有者到部門（如IT部門）而不是個人，但不建議確定風險所有者。相反，風險所有者必須非常具體，并指定人。

適當識別資產所有者和風險所有者是組織需要仔細考慮的問題。合理設置資產所有者不僅可以使風險處置更容易，而且可以使風險處置活動更有效。

如何理解和選擇ISO27001認證中的風險所有者？