如何理解ISO27001标准中的风险责任人?
在信息安全管理体系(Information Security Management System,简称ISMS)中,“风险责任人”是一个关键角色,涉及风险管理、控制措施落实与安全责任的承担。以下是对“风险责任人”的详细解读:
一、定义与职责
风险责任人(Risk Owner) 是对某一信息安全风险负责的人,通常负责:
-
识别和评估风险对其职责范围的影响;
-
批准应对风险的措施(如接受、规避、减少或转移);
-
确保应对措施得到实施并持续有效;
-
在风险发生时承担相关后果和处置责任。
二、风险责任人与其他角色的区别
| 角色 | 职责重点 | 与风险责任人的关系 |
|---|---|---|
| 资产负责人(Asset Owner) | 管理某项信息资产的使用和保护 | 风险往往来自资产,风险责任人可与资产负责人是同一人 |
| 控制责任人(Control Owner) | 负责特定控制措施的实施 | 控制责任人执行应对措施,向风险责任人汇报 |
| 信息安全负责人(CISO) | 管理整体信息安全策略和体系 | 协助并监督风险责任人履行职责 |
| 高层管理者 | 决策支持、资源保障 | 最终审批高等级风险的处理建议 |
三、在ISO/IEC 27001中的相关条款
ISO/IEC 27001:2022 明确提出要:
-
4.2 理解相关方的需求和期望(其中包括对责任的分配);
-
5.3 职责、权限与角色分配;
-
6.1.2 风险所有者的确定与授权;
-
6.1.3 风险处理计划需由风险责任人批准。
➤ 原文引用(6.1.3):
“风险处理方案应由风险所有者批准,并应被实施。”
四、实际工作中的识别原则
在组织中,确定风险责任人可参考以下原则:
-
对风险后果有直接业务影响的人;
-
对相关资源或业务有控制权的人;
-
具备制定和推动风险应对措施能力的人;
-
有组织赋予的正式权责支持其履职。
例如:
| 风险示例 | 风险责任人可能是谁 |
|---|---|
| ERP系统被攻击导致数据泄露 | 信息系统部经理、ERP业务负责人 |
| 营销数据库误发给第三方 | 市场部负责人 |
| 员工点击钓鱼邮件感染勒索病毒 | 部门主管 / IT 安全负责人 |
| 供应商远程接入权限未撤销 | 采购负责人或外包项目经理 |
五、常见问题与实践建议
| 问题 | 建议 |
|---|---|
| 所有风险都归信息安全部管? | 错误。信息安全部是支持者而非承担者,风险应归属具体业务或资产拥有者。 |
| 如何避免“挂名”风险责任人? | 要配合风险处置计划签字、定期审查、KPI纳入考核。 |
| 风险责任人不懂技术? | 可以不懂,但必须理解业务影响,并有能力组织控制措施的落实。技术执行可由控制责任人承担。 |
六、总结一句话
风险责任人不是“替罪羊”,而是对本部门或职责范围内的信息安全风险具有“知情、决策、组织落实、持续监控”职责的人。