本文主要描述了信息安全管理體系(ISMS)、信息技術(shù)服務(wù)管理體系(ITSM)和業(yè)務(wù)連續(xù)性管理體系(BCMS)三體系中有關(guān)風(fēng)險(xiǎn)管理標(biāo)準(zhǔn)規(guī)定，以及對(duì)三體系中涉及的風(fēng)險(xiǎn)管理的理解和實(shí)施建議。

信息安全管理體系(ISMS)國(guó)際標(biāo)準(zhǔn)2022版、信息技術(shù)服務(wù)管理體系(ITSM)國(guó)際標(biāo)準(zhǔn)2018版和業(yè)務(wù)連續(xù)性管理體系(BCMS)國(guó)際標(biāo)準(zhǔn)2019版在第6章規(guī)劃和第8章運(yùn)行中都提到了風(fēng)險(xiǎn)管理。依照標(biāo)準(zhǔn)的要求，組織在實(shí)施標(biāo)準(zhǔn)體系過(guò)程中必須實(shí)施風(fēng)險(xiǎn)管理。如果組織同時(shí)實(shí)施三個(gè)體系，如何理解第6章的風(fēng)險(xiǎn)和第8章的風(fēng)險(xiǎn)管理?風(fēng)險(xiǎn)管理在三個(gè)體系中的應(yīng)用是否相同?本文從對(duì)三個(gè)體系風(fēng)險(xiǎn)管理的要求、區(qū)別和如何實(shí)施等方面分別進(jìn)行分析。

一、信息安全管理體系中的風(fēng)險(xiǎn)管理

2008年，我國(guó)正式發(fā)布國(guó)家標(biāo)準(zhǔn)GB/T 22080-2008.完成信息安全管理體系國(guó)際標(biāo)準(zhǔn)2005版的轉(zhuǎn)換。隨著標(biāo)準(zhǔn)版本的升級(jí)，標(biāo)準(zhǔn)本身也有所變化，如風(fēng)險(xiǎn)識(shí)別過(guò)程的變化。信息安全管理體系從國(guó)際標(biāo)準(zhǔn)的2005版，發(fā)展到2013版，又升級(jí)到現(xiàn)在2022版，經(jīng)過(guò)了三次版本的變化。在2005版的標(biāo)準(zhǔn)中，4.2.1建立ISMS[1]。從標(biāo)準(zhǔn)的規(guī)定可以看出，風(fēng)險(xiǎn)評(píng)估的識(shí)別基于信息資產(chǎn)。因此，當(dāng)年的信息安全管理體系的風(fēng)險(xiǎn)評(píng)估都基于信息資產(chǎn)開展，否則不符合標(biāo)準(zhǔn)的要求。在2013版標(biāo)準(zhǔn)中，6.1.2信息安全風(fēng)險(xiǎn)評(píng)估[2]。2013版標(biāo)準(zhǔn)中風(fēng)險(xiǎn)的識(shí)別，已經(jīng)不再?gòu)?qiáng)調(diào)“資產(chǎn)”。2022版標(biāo)準(zhǔn)，6.1.2信息安全風(fēng)險(xiǎn)評(píng)估[3]。2022版標(biāo)準(zhǔn)在2013版標(biāo)準(zhǔn)的基礎(chǔ)上，同樣不再?gòu)?qiáng)調(diào)“資產(chǎn)”，體現(xiàn)了現(xiàn)代管理體系注重的是風(fēng)險(xiǎn)管理的理念，核心思想是為組織業(yè)務(wù)服務(wù)。

二、信息技術(shù)服務(wù)管理體系中的風(fēng)險(xiǎn)管理

信息技術(shù)服務(wù)管理體系國(guó)際標(biāo)準(zhǔn)2011版中沒(méi)有對(duì)風(fēng)險(xiǎn)管理做出明確的規(guī)定。信息技術(shù)服務(wù)管理體系國(guó)際標(biāo)準(zhǔn)2018版按照標(biāo)準(zhǔn)化結(jié)構(gòu)進(jìn)行規(guī)劃，在第6章規(guī)劃中有提及，如6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施[4]。

信息技術(shù)服務(wù)管理體系2018版標(biāo)準(zhǔn)，第8章節(jié)中，針對(duì)變更管理流程、服務(wù)可用性管理流程、服務(wù)連續(xù)性管理流程、信息安全控制管理流程，均提到了流程管理過(guò)程中的風(fēng)險(xiǎn)。

信息技術(shù)服務(wù)管理體系對(duì)于風(fēng)險(xiǎn)管理的變化，強(qiáng)調(diào)了現(xiàn)代管理的本質(zhì)，即：風(fēng)險(xiǎn)管理是核心。

三、業(yè)務(wù)連續(xù)性管理體系中的風(fēng)險(xiǎn)管理

業(yè)務(wù)連續(xù)性管理體系國(guó)際標(biāo)準(zhǔn)2019版第6章規(guī)劃分為3部分內(nèi)容，其中6.1應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)的措施部分包括：6.1.1確定風(fēng)險(xiǎn)與機(jī)會(huì)、6.1.2應(yīng)對(duì)風(fēng)險(xiǎn)和機(jī)會(huì)、注釋內(nèi)容。風(fēng)險(xiǎn)和機(jī)會(huì)與管理系統(tǒng)的有效性有關(guān)，與業(yè)務(wù)中斷有關(guān)的風(fēng)險(xiǎn)在8.2中解決[5]。

業(yè)務(wù)連續(xù)性管理體系2019版的標(biāo)準(zhǔn)內(nèi)容和2012版相比，對(duì)風(fēng)險(xiǎn)管理的總體要求沒(méi)有大的變化，風(fēng)險(xiǎn)管理是業(yè)務(wù)連續(xù)性管理體系中的一個(gè)非常重要的部分。

四、三體系第6章規(guī)劃和第8章運(yùn)行中風(fēng)險(xiǎn)管理的區(qū)別

三體系中均在第6章規(guī)劃中提到了風(fēng)險(xiǎn)，除了信息技術(shù)服務(wù)管理體系在第8章中沒(méi)有專門提到風(fēng)險(xiǎn)管理相關(guān)內(nèi)容，其他2個(gè)體系均在第8章中提到風(fēng)險(xiǎn)管理相關(guān)內(nèi)容。

第6章有關(guān)風(fēng)險(xiǎn)的標(biāo)準(zhǔn)規(guī)定和第8章有關(guān)風(fēng)險(xiǎn)標(biāo)準(zhǔn)規(guī)定是不同的。第6章屬于規(guī)劃，應(yīng)該涉及兩方面事項(xiàng)：一是對(duì)在實(shí)施管理體系規(guī)劃過(guò)程中可能出現(xiàn)的風(fēng)險(xiǎn)應(yīng)進(jìn)行風(fēng)險(xiǎn)評(píng)估，即根據(jù)組織本身的業(yè)務(wù)情況、組織所處的環(huán)境、相關(guān)方的需求和期望分析組織在規(guī)劃三個(gè)管理體系時(shí)，可能遇到的風(fēng)險(xiǎn)以及由此帶來(lái)的機(jī)遇。二是在體系規(guī)劃過(guò)程中，應(yīng)對(duì)風(fēng)險(xiǎn)管理進(jìn)行規(guī)劃。規(guī)劃的內(nèi)容包括：風(fēng)險(xiǎn)評(píng)估過(guò)程、風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則、識(shí)別風(fēng)險(xiǎn)、風(fēng)險(xiǎn)分析、評(píng)價(jià)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)處置。

第8章主要是關(guān)于風(fēng)險(xiǎn)評(píng)估的具體實(shí)施。以下通過(guò)舉例說(shuō)明第8章如何實(shí)施。如，某公司為客戶提供信息系統(tǒng)軟件研發(fā)服務(wù)，與客戶簽訂合同之后，風(fēng)險(xiǎn)管理部門組織進(jìn)行風(fēng)險(xiǎn)評(píng)估，依照第6章的規(guī)劃進(jìn)行風(fēng)險(xiǎn)識(shí)別，可采用頭腦風(fēng)暴法識(shí)別系統(tǒng)規(guī)劃、分析、設(shè)計(jì)、實(shí)施過(guò)程中的風(fēng)險(xiǎn)，如有風(fēng)險(xiǎn)登記冊(cè)，還可以參考風(fēng)險(xiǎn)登記冊(cè)中的風(fēng)險(xiǎn)，然后針對(duì)識(shí)別出來(lái)的風(fēng)險(xiǎn)發(fā)生的可能性、造成的損失逐個(gè)進(jìn)行風(fēng)險(xiǎn)分析?？刹捎枚炕蚨ㄐ苑ㄅ卸總€(gè)風(fēng)險(xiǎn)值(定量)或者風(fēng)險(xiǎn)的級(jí)別。如風(fēng)險(xiǎn)值高(依照第6章的規(guī)劃)或者風(fēng)險(xiǎn)級(jí)別為高的風(fēng)險(xiǎn)項(xiàng)，應(yīng)采取風(fēng)險(xiǎn)應(yīng)對(duì)措施，制定風(fēng)險(xiǎn)處置計(jì)劃，明確風(fēng)險(xiǎn)處置的責(zé)任人。一旦風(fēng)險(xiǎn)處置完成，對(duì)處置后的風(fēng)險(xiǎn)項(xiàng)進(jìn)行再評(píng)估，以判定經(jīng)過(guò)風(fēng)險(xiǎn)處置后的風(fēng)險(xiǎn)級(jí)別是否達(dá)到可接受的狀態(tài)。

標(biāo)準(zhǔn)中第8章運(yùn)行中提到的風(fēng)險(xiǎn)主要涉及運(yùn)行過(guò)程中的風(fēng)險(xiǎn)。三體系均需按照計(jì)劃的時(shí)間間隔，或當(dāng)重大變更提出或發(fā)生時(shí)進(jìn)行風(fēng)險(xiǎn)評(píng)估，制定風(fēng)險(xiǎn)處置計(jì)劃，并保留文件化信息[6]。

風(fēng)險(xiǎn)評(píng)估的活動(dòng)伴隨著項(xiàng)目的全生命周期，在每次風(fēng)險(xiǎn)評(píng)估之后，應(yīng)將風(fēng)險(xiǎn)評(píng)估的過(guò)程記錄進(jìn)行歸檔。

五、三體系第6章規(guī)劃實(shí)施的建議

如果組織同時(shí)實(shí)施三體系，那么在體系規(guī)劃過(guò)程中是否需要單獨(dú)做三份規(guī)劃過(guò)程中風(fēng)險(xiǎn)與機(jī)遇分析?是否分別制定有關(guān)風(fēng)險(xiǎn)評(píng)估方面的管理規(guī)定?如果一個(gè)組織先實(shí)施信息安全管理體系和信息技術(shù)服務(wù)管理體系，后實(shí)施業(yè)務(wù)連續(xù)性管理體系，又該怎么辦?

首先，有關(guān)風(fēng)險(xiǎn)評(píng)估過(guò)程、風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則、識(shí)別風(fēng)險(xiǎn)、風(fēng)險(xiǎn)分析、評(píng)價(jià)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)處置的管理規(guī)定，組織在規(guī)劃過(guò)程中沒(méi)有必要分別制定。無(wú)論從節(jié)約企業(yè)資源的角度，還是組織在實(shí)施管理體系過(guò)程中的便利程度，建議做好管理體系文件編寫的融合工作。

其次，三體系規(guī)劃過(guò)程中的風(fēng)險(xiǎn)與機(jī)遇分析，內(nèi)容應(yīng)全面包含信息安全的風(fēng)險(xiǎn)、服務(wù)的風(fēng)險(xiǎn)和中斷的風(fēng)險(xiǎn)。

最后，如果體系的規(guī)劃有前有后，那么應(yīng)在原有體系實(shí)施的風(fēng)險(xiǎn)與機(jī)遇的基礎(chǔ)上，補(bǔ)充后來(lái)規(guī)劃的體系的風(fēng)險(xiǎn)與機(jī)遇的內(nèi)容，并同時(shí)對(duì)原風(fēng)險(xiǎn)評(píng)估過(guò)程、風(fēng)險(xiǎn)評(píng)估實(shí)施準(zhǔn)則、識(shí)別風(fēng)險(xiǎn)、風(fēng)險(xiǎn)分析、評(píng)價(jià)風(fēng)險(xiǎn)和風(fēng)險(xiǎn)處置的管理規(guī)定進(jìn)行修訂。

六、三體系第8章運(yùn)行中風(fēng)險(xiǎn)管理的實(shí)施

三體系第8章運(yùn)行部分實(shí)施風(fēng)險(xiǎn)評(píng)估要注意每個(gè)體系的側(cè)重點(diǎn)，不能簡(jiǎn)單用某一個(gè)體系風(fēng)險(xiǎn)評(píng)估代替其他兩個(gè)體系的風(fēng)險(xiǎn)評(píng)估。

信息安全管理體系在實(shí)施過(guò)程中風(fēng)險(xiǎn)評(píng)估的核心是信息安全風(fēng)險(xiǎn)。信息技術(shù)服務(wù)管理體系風(fēng)險(xiǎn)評(píng)估的核心是服務(wù)過(guò)程中的風(fēng)險(xiǎn)，尤其在服務(wù)過(guò)程中變更管理流程、服務(wù)可用性管理流程、服務(wù)連續(xù)性管理流程、信息安全控制管理流程的風(fēng)險(xiǎn)，對(duì)上述風(fēng)險(xiǎn)要進(jìn)行充分識(shí)別。業(yè)務(wù)連續(xù)性管理體系的風(fēng)險(xiǎn)評(píng)估應(yīng)基于業(yè)務(wù)影響分析的結(jié)果進(jìn)行，核心是中斷帶來(lái)的風(fēng)險(xiǎn)。至于是什么樣的中斷，取決于組織從事的是什么類型的業(yè)務(wù)，但一定是核心業(yè)務(wù)。

基于以上原因，為保障風(fēng)險(xiǎn)評(píng)估的有效性，三體系在實(shí)施過(guò)程中的風(fēng)險(xiǎn)評(píng)估應(yīng)分別開展。

七、總結(jié)

每個(gè)組織的業(yè)務(wù)情況有差別，組織內(nèi)部文化也有新差異。隨著人們對(duì)風(fēng)險(xiǎn)管理認(rèn)識(shí)的不斷增強(qiáng)，以及風(fēng)險(xiǎn)評(píng)估工作對(duì)于預(yù)防重大事件發(fā)生的前期重要作用，組織在實(shí)施三體系過(guò)程中，應(yīng)高度重視風(fēng)險(xiǎn)評(píng)估的工作，并根據(jù)實(shí)際情況實(shí)施風(fēng)險(xiǎn)管理。

[參考文獻(xiàn)]

[1] 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求：GB/T 22080-2008 [S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2008:6.

[2] 信息技術(shù) 安全技術(shù) 信息安全管理體系 要求：GB/T 22080-2016 [S]. 北京：中國(guó)標(biāo)準(zhǔn)出版社，2016:8.

[3] Information security，cybersecurity and privacy protection -Information security management systems – Requirements：ISO 27001:2022 [S].

[4] Information technology – Service management – Part 1:Service management system requirements: ISO/IEC 20000-1:2018 [S].

[5] Security and resilience – Business continuity management systems -Requirements: ISO 22301:2019 [S]. [2019-10].

[6] Information security, cybersecurity and privacy protection -Information security management systems – Requirements: ISO 27001:2022 [S].

中企檢測(cè)認(rèn)證網(wǎng)提供iso體系認(rèn)證機(jī)構(gòu)查詢，檢驗(yàn)檢測(cè)、認(rèn)證認(rèn)可、資質(zhì)資格、計(jì)量校準(zhǔn)、知識(shí)產(chǎn)權(quán)貫標(biāo)一站式行業(yè)企業(yè)服務(wù)平臺(tái)。中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)行業(yè)相關(guān)檢驗(yàn)、檢測(cè)、認(rèn)證、計(jì)量、校準(zhǔn)機(jī)構(gòu)，儀器設(shè)備、耗材、配件、試劑、標(biāo)準(zhǔn)品供應(yīng)商，法規(guī)咨詢、標(biāo)準(zhǔn)服務(wù)、實(shí)驗(yàn)室軟件提供商提供包括品牌宣傳、產(chǎn)品展示、技術(shù)交流、新品推薦等全方位推廣服務(wù)。這個(gè)問(wèn)題就給大家解答到這里了，如還需要了解更多專業(yè)性問(wèn)題可以撥打中企檢測(cè)認(rèn)證網(wǎng)在線客服13550333441。為您提供全面檢測(cè)、認(rèn)證、商標(biāo)、專利、知識(shí)產(chǎn)權(quán)、版權(quán)法律法規(guī)知識(shí)資訊，包括商標(biāo)注冊(cè)、食品檢測(cè)、第三方檢測(cè)機(jī)構(gòu)、網(wǎng)絡(luò)信息技術(shù)檢測(cè)、環(huán)境檢測(cè)、管理體系認(rèn)證、服務(wù)體系認(rèn)證、產(chǎn)品認(rèn)證、版權(quán)登記、專利申請(qǐng)、知識(shí)產(chǎn)權(quán)、檢測(cè)法、認(rèn)證標(biāo)準(zhǔn)等信息，中企檢測(cè)認(rèn)證網(wǎng)為檢測(cè)認(rèn)證商標(biāo)專利從業(yè)者提供多種檢測(cè)、認(rèn)證、知識(shí)產(chǎn)權(quán)、版權(quán)、商標(biāo)、專利的轉(zhuǎn)讓代理查詢法律法規(guī)，咨詢輔導(dǎo)等知識(shí)。

本文內(nèi)容整合網(wǎng)站：百度百科、搜狗百科、360百科、知乎、市場(chǎng)監(jiān)督總局 、國(guó)家認(rèn)證認(rèn)可監(jiān)督管理委員會(huì)、質(zhì)量認(rèn)證中心

免責(zé)聲明：本文部分內(nèi)容根據(jù)網(wǎng)絡(luò)信息整理，文章版權(quán)歸原作者所有。向原作者致敬！發(fā)布旨在積善利他，如涉及作品內(nèi)容、版權(quán)和其它問(wèn)題，請(qǐng)跟我們聯(lián)系刪除并致歉！

本文來(lái)源： http://bqlw.net/zs/202307/ccaa_54424.html