ISO 27001 轉版筆記 -9- 風險評鑑
ISO 27001:2013 的風險評鑑,更多地參考了 ISO 31000 有關風險管理的作法。
如果你是要引入跟建立 ISO 27001:2013,則風險評鑑的建立可以參考 ISO 31000 的作法;如果是轉版的話,也要看你的組織內對於風險評鑑方法的態度,是否要大加改革?或是沿用原先2005的風險評鑑方式(以資訊資產的風險為討論基礎)?
大概的步驟是:
1. 依據組織全景檢視的討論,來重新考量風險評鑑方法
你做完組織的全景檢視了吧?(主條文 4 要做的事情) 那些議題、期望必須納入你的風險考量,你必須在風險評鑑的開頭對這部分做討論,根據你的討論結果,決定了你的風險評鑑方法。
例如、可能你討論後認為:要針對內外部議題、利害團體期望以及其餘資訊資產,分別擬定一種風險計算程序。如此你就需要擬訂出三種風險值的計算方式,而且要注意,風險值的計算程序,必須要是可重複,而且相同條件下要可以得到相同結果。換句話說,風險評鑑過程可不能像是申論題隨便你掰,而是要有一個定量化的方式,去評量出你的風險值。
又或者,也許你的組織型態,經過討論後,認為不需要針對內外部議題、利害團體期望另外開立新的風險評量方式,而是可以將之併入資訊資產的風險來討論,那麼就可以完全沿用 2005 版的資訊資產評鑑方式。
2. 檢查你的資產清冊,確認有沒有資產擁有者? 沒有的話記得加上。
3. 針對每一項風險,加入風險擁有者
在 2005 版內,一個資產可能存在很多項風險,而在 2013 版,每一項風險,除了要透過一個程序去評量其風險值外,還需決定該項風險的風險擁有者。
在 2005 版內,如果一項風險的風險值經過計算後非常的高(超過臨界值),就需要採取控制的措施(通常稱為風險處理計畫),去降低這項風險。在 2013 版,每一項風險處理計畫都須由該項風險的風險擁有者核可,才可以執行。
這些改變都需要設法文件化,並融入風險評鑑報告、風險評鑑計畫之中,當然,相關的風險評鑑程序書也別忘記修改。
風險擁有者的參考資料:
Leave a Reply