本文主要描述了信息安全管理體系(ISMS)、信息技術服務管理體系(ITSM)和業務連續性管理體系(BCMS)三體系中有關風險管理標準規定,以及對三體系中涉及的風險管理的理解和實施建議。
信息安全管理體系(ISMS)國際標準2022版、信息技術服務管理體系(ITSM)國際標準2018版和業務連續性管理體系(BCMS)國際標準2019版在第6章規劃和第8章運行中都提到了風險管理。依照標準的要求,組織在實施標準體系過程中必須實施風險管理。如果組織同時實施三個體系,如何理解第6章的風險和第8章的風險管理?風險管理在三個體系中的應用是否相同?本文從對三個體系風險管理的要求、區別和如何實施等方面分別進行分析。
一、信息安全管理體系中的風險管理
2008年,我國正式發布國家標準GB/T 22080-2008.完成信息安全管理體系國際標準2005版的轉換。隨著標準版本的升級,標準本身也有所變化,如風險識別過程的變化。信息安全管理體系從國際標準的2005版,發展到2013版,又升級到現在2022版,經過了三次版本的變化。在2005版的標準中,4.2.1建立ISMS[1]。從標準的規定可以看出,風險評估的識別基于信息資產。因此,當年的信息安全管理體系的風險評估都基于信息資產開展,否則不符合標準的要求。在2013版標準中,6.1.2信息安全風險評估[2]。2013版標準中風險的識別,已經不再強調“資產”。2022版標準,6.1.2信息安全風險評估[3]。2022版標準在2013版標準的基礎上,同樣不再強調“資產”,體現了現代管理體系注重的是風險管理的理念,核心思想是為組織業務服務。
二、信息技術服務管理體系中的風險管理
信息技術服務管理體系國際標準2011版中沒有對風險管理做出明確的規定。信息技術服務管理體系國際標準2018版按照標準化結構進行規劃,在第6章規劃中有提及,如6.1應對風險和機會的措施[4]。
信息技術服務管理體系2018版標準,第8章節中,針對變更管理流程、服務可用性管理流程、服務連續性管理流程、信息安全控制管理流程,均提到了流程管理過程中的風險。
信息技術服務管理體系對于風險管理的變化,強調了現代管理的本質,即:風險管理是核心。
三、業務連續性管理體系中的風險管理
業務連續性管理體系國際標準2019版第6章規劃分為3部分內容,其中6.1應對風險和機會的措施部分包括:6.1.1確定風險與機會、6.1.2應對風險和機會、注釋內容。風險和機會與管理系統的有效性有關,與業務中斷有關的風險在8.2中解決[5]。
業務連續性管理體系2019版的標準內容和2012版相比,對風險管理的總體要求沒有大的變化,風險管理是業務連續性管理體系中的一個非常重要的部分。
四、三體系第6章規劃和第8章運行中風險管理的區別
三體系中均在第6章規劃中提到了風險,除了信息技術服務管理體系在第8章中沒有專門提到風險管理相關內容,其他2個體系均在第8章中提到風險管理相關內容。
第6章有關風險的標準規定和第8章有關風險標準規定是不同的。第6章屬于規劃,應該涉及兩方面事項:一是對在實施管理體系規劃過程中可能出現的風險應進行風險評估,即根據組織本身的業務情況、組織所處的環境、相關方的需求和期望分析組織在規劃三個管理體系時,可能遇到的風險以及由此帶來的機遇。二是在體系規劃過程中,應對風險管理進行規劃。規劃的內容包括:風險評估過程、風險評估實施準則、識別風險、風險分析、評價風險和風險處置。
第8章主要是關于風險評估的具體實施。以下通過舉例說明第8章如何實施。如,某公司為客戶提供信息系統軟件研發服務,與客戶簽訂合同之后,風險管理部門組織進行風險評估,依照第6章的規劃進行風險識別,可采用頭腦風暴法識別系統規劃、分析、設計、實施過程中的風險,如有風險登記冊,還可以參考風險登記冊中的風險,然后針對識別出來的風險發生的可能性、造成的損失逐個進行風險分析。可采用定量或定性法判定每個風險值(定量)或者風險的級別。如風險值高(依照第6章的規劃)或者風險級別為高的風險項,應采取風險應對措施,制定風險處置計劃,明確風險處置的責任人。一旦風險處置完成,對處置后的風險項進行再評估,以判定經過風險處置后的風險級別是否達到可接受的狀態。
標準中第8章運行中提到的風險主要涉及運行過程中的風險。三體系均需按照計劃的時間間隔,或當重大變更提出或發生時進行風險評估,制定風險處置計劃,并保留文件化信息[6]。
風險評估的活動伴隨著項目的全生命周期,在每次風險評估之后,應將風險評估的過程記錄進行歸檔。
五、三體系第6章規劃實施的建議
如果組織同時實施三體系,那么在體系規劃過程中是否需要單獨做三份規劃過程中風險與機遇分析?是否分別制定有關風險評估方面的管理規定?如果一個組織先實施信息安全管理體系和信息技術服務管理體系,后實施業務連續性管理體系,又該怎么辦?
首先,有關風險評估過程、風險評估實施準則、識別風險、風險分析、評價風險和風險處置的管理規定,組織在規劃過程中沒有必要分別制定。無論從節約企業資源的角度,還是組織在實施管理體系過程中的便利程度,建議做好管理體系文件編寫的融合工作。
其次,三體系規劃過程中的風險與機遇分析,內容應全面包含信息安全的風險、服務的風險和中斷的風險。
最后,如果體系的規劃有前有后,那么應在原有體系實施的風險與機遇的基礎上,補充后來規劃的體系的風險與機遇的內容,并同時對原風險評估過程、風險評估實施準則、識別風險、風險分析、評價風險和風險處置的管理規定進行修訂。
六、三體系第8章運行中風險管理的實施
三體系第8章運行部分實施風險評估要注意每個體系的側重點,不能簡單用某一個體系風險評估代替其他兩個體系的風險評估。
信息安全管理體系在實施過程中風險評估的核心是信息安全風險。信息技術服務管理體系風險評估的核心是服務過程中的風險,尤其在服務過程中變更管理流程、服務可用性管理流程、服務連續性管理流程、信息安全控制管理流程的風險,對上述風險要進行充分識別。業務連續性管理體系的風險評估應基于業務影響分析的結果進行,核心是中斷帶來的風險。至于是什么樣的中斷,取決于組織從事的是什么類型的業務,但一定是核心業務。
基于以上原因,為保障風險評估的有效性,三體系在實施過程中的風險評估應分別開展。
七、總結
每個組織的業務情況有差別,組織內部文化也有新差異。隨著人們對風險管理認識的不斷增強,以及風險評估工作對于預防重大事件發生的前期重要作用,組織在實施三體系過程中,應高度重視風險評估的工作,并根據實際情況實施風險管理。
[參考文獻]
[1] 信息技術 安全技術 信息安全管理體系 要求:GB/T 22080-2008 [S]. 北京:中國標準出版社,2008:6.
[2] 信息技術 安全技術 信息安全管理體系 要求:GB/T 22080-2016 [S]. 北京:中國標準出版社,2016:8.
[3] Information security,cybersecurity and privacy protection -Information security management systems – Requirements:ISO 27001:2022 [S].
[4] Information technology – Service management – Part 1:Service management system requirements: ISO/IEC 20000-1:2018 [S].
[5] Security and resilience – Business continuity management systems -Requirements: ISO 22301:2019 [S]. [2019-10].
[6] Information security, cybersecurity and privacy protection -Information security management systems – Requirements: ISO 27001:2022 [S].
中企檢測認證網提供iso體系認證機構查詢,檢驗檢測、認證認可、資質資格、計量校準、知識產權貫標一站式行業企業服務平臺。中企檢測認證網為檢測行業相關檢驗、檢測、認證、計量、校準機構,儀器設備、耗材、配件、試劑、標準品供應商,法規咨詢、標準服務、實驗室軟件提供商提供包括品牌宣傳、產品展示、技術交流、新品推薦等全方位推廣服務。這個問題就給大家解答到這里了,如還需要了解更多專業性問題可以撥打中企檢測認證網在線客服13550333441。為您提供全面檢測、認證、商標、專利、知識產權、版權法律法規知識資訊,包括商標注冊、食品檢測、第三方檢測機構、網絡信息技術檢測、環境檢測、管理體系認證、服務體系認證、產品認證、版權登記、專利申請、知識產權、檢測法、認證標準等信息,中企檢測認證網為檢測認證商標專利從業者提供多種檢測、認證、知識產權、版權、商標、專利的轉讓代理查詢法律法規,咨詢輔導等知識。
本文內容整合網站:百度百科、搜狗百科、360百科、知乎、市場監督總局 、國家認證認可監督管理委員會、質量認證中心
免責聲明:本文部分內容根據網絡信息整理,文章版權歸原作者所有。向原作者致敬!發布旨在積善利他,如涉及作品內容、版權和其它問題,請跟我們聯系刪除并致歉!
