ISO27001認證咨詢機構

ISO27001認證咨詢機構—眾智指出，為什么指定資產所有者至關重要？因為如果不指定資產所有者，就沒人對資產的安全負責，這樣的話無法確保資產能夠得到妥善的保護與管理，從而造成資產安全管理上的混亂與安全風險的不可控。
如何理解風險所有者（Riskowners）www.hniso9000.cn
那么，什么又是風險所有者（Riskowners）呢？風險所有者是“對風險管理持有權利和責任的個人或實體（personorentitywiththeaccountabilityandauthoritytomanagearisk.）?！蓖ㄋ椎睦斫?，風險所有者就是希望能夠控制某一風險，并且在組織中又有足夠的權利和資源去處理這一風險的人。
既然有了資產所有者的概念，為什么還需要風險所有者呢？原因如下：
1.標準之間的兼容性：在ISO31000風險管理標準中已經定義了“風險所有者“的概念，ISO27001：2013版此次改版意在與其他相關的管理標準保證兼容性。
2.風險評估方法擴展：一直以來信息安全風險評估都是采用“基于資產的風險評估”方法，雖然在ISO27001：2013版中以資產為出發點進行風險評估仍然是一種主導方法，但是，新版標準已經針對風險評估方法進行了擴展，在針對資產進行安全評估的同時還要評估企業的”安全環境“，而這種”安全環境“風險的處置是資產所有者無能為力的。

3.風險處置效果考慮：由于風險處置所涉及組織的部門及角色很多，很多情況下資產所有者沒有足夠的能力或資源來進行風險的有效處置，例如信息系統可能面臨變更管理不善所帶來的風險，但完善變更管理這項處置措施并不一定是信息系統的所有者能夠去完成的，可能由組織的其他部門或角色（如IT服務管理部門）來進行。也就是說，資產所有者只能針對資產本身存在的風險進行處置，組織風險、過程風險的處置是資產所有者無法完成的。