关于ISO27001:2013中"6.1 应对风险和机会的措施"的解读
GB/T 22080-2016已经于2016-08-29发布,2017-03-01将会正式实施,虽然小伙伴们最近已经完成了标准的升级换版工作。但是关于新版标准后有不少地方的理解还是容易引起歧义的。今天我就对标准正文6.1章节中关于“机会”的理解做个解读,一家之言,仅做参考!
标准原文如下:
---------------------------------------------我是分割线君--------------------------------------------------------------
6.1 应对风险和机会的措施
6.1.1总则
当规划信息安全管理体系时,组织应考虑4.1中提到的事项和4.2中提到的要求,并确定需要应对的风险和机会,以:
[*]确保信息安全管理体系可达到预期结果;
[*]预防或减少不良影响;
[*]达到持续改进。
组织应规划:
[*]应对这些风险和机会的措施;
[*]如何:
[*]将这些措施整合到信息安全管理体系过程中,并予以实现;
[*]评价这些措施的有效性。
---------------------------------------------我是分割线君--------------------------------------------------------------
中文中,“机会”的含义是指具有时间性的有利情况,比如,危险和机会并存。
《说文解字》解释如下:
机:机通“积”,“几”即数量,意取累积,积木生机,助缘合因,至取正果。道运化因缘成果之无形法即是“机”。
木应天地因缘感召,得天之气,积阳之温,化地之水,聚土之尘,累积木几,曲直向上,执著生“机",通天会地,修木高尚,至成机会。
所以,在中文里,“机会”强调的是(机遇,关键因素)
看到这里,不少小伙伴一定蒙了,这是搞事情啊,以前只要识别风险,现在还要识别机遇,多干活老板又不给涨工资啊!
那么是否在2013版27001实施风险评估中,除了识别风险还要识别机遇呢?
我认为这种理解的偏差其实是来自于英文翻译的问题。
英文原文这段的标题是“Actions to address risks and opportunities”,“opportunities”这个词被翻译成“机会”并没有问题(有问题我也不敢说,因为字典上就是这样写的)但是,跟我们中文语境中所的“机会”真的不太一样,它强调的是(条件),如 造成XXX的时机或条件。并不一定指有利的条件,所以在标准原文中出现了“不当使用组织资产的机会”、“未授权访问的机会”这样的语句。
---------------------------------------------我是分割线君--------------------------------------------------------------
A.6.1.2 职责分离 控制
应分离冲突的职责及其责任范围,以减少未授权或无意的修改或者不当使用组织资产的机会。
A.11.2.1 设备安置和保护 控制
应安置或保护设备,以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。
---------------------------------------------我是分割线君--------------------------------------------------------------
所以,标准你说要识别风险和机会,这里的机会应该是指造成风险的条件,比如有什么威胁,或者有什么弱点,可能引发什么风险。
坐而论道思而慎行
页:
[1]