本文主要描述了信息安全管理體系（ISMS）、信息技術(shù)服務(wù)管理體系（ITSM）和業(yè)務(wù)連續(xù)性管理體系（BCMS）三體系中有關(guān)風(fēng)險管理標(biāo)準(zhǔn)規(guī)定，以及對三體系中涉及的風(fēng)險管理的理解和實施建議。

信息安全管理體系（ISMS）國際標(biāo)準(zhǔn)2022版、信息技術(shù)服務(wù)管理體系（ITSM）國際標(biāo)準(zhǔn)2018版和業(yè)務(wù)連續(xù)性管理體系（BCMS）國際標(biāo)準(zhǔn)2019版在第6章規(guī)劃和第8章運行中都提到了風(fēng)險管理。依照標(biāo)準(zhǔn)的要求，組織在實施標(biāo)準(zhǔn)體系過程中必須實施風(fēng)險管理。如果組織同時實施三個體系，如何理解第6章的風(fēng)險和第8章的風(fēng)險管理？風(fēng)險管理在三個體系中的應(yīng)用是否相同？本文從對三個體系風(fēng)險管理的要求、區(qū)別和如何實施等方面分別進(jìn)行分析。

一信息安全管理體系中的風(fēng)險管理

2008年，我國正式發(fā)布國家標(biāo)準(zhǔn)GB/T 22080-2008，完成信息安全管理體系國際標(biāo)準(zhǔn)2005版的轉(zhuǎn)換。隨著標(biāo)準(zhǔn)版本的升級，標(biāo)準(zhǔn)本身也有所變化，如風(fēng)險識別過程的變化。信息安全管理體系從國際標(biāo)準(zhǔn)的2005版，發(fā)展到2013版，又升級到現(xiàn)在2022版，經(jīng)過了三次版本的變化。在2005版的標(biāo)準(zhǔn)中，4.2.1建立ISMS[1]。從標(biāo)準(zhǔn)的規(guī)定可以看出，風(fēng)險評估的識別基于信息資產(chǎn)。因此，當(dāng)年的信息安全管理體系的風(fēng)險評估都基于信息資產(chǎn)開展，否則不符合標(biāo)準(zhǔn)的要求。在2013版標(biāo)準(zhǔn)中，6.1.2信息安全風(fēng)險評估[2]。2013版標(biāo)準(zhǔn)中風(fēng)險的識別，已經(jīng)不再強(qiáng)調(diào)“資產(chǎn)”。2022版標(biāo)準(zhǔn)，6.1.2信息安全風(fēng)險評估[3]。2022版標(biāo)準(zhǔn)在2013版標(biāo)準(zhǔn)的基礎(chǔ)上，同樣不再強(qiáng)調(diào)“資產(chǎn)”，體現(xiàn)了現(xiàn)代管理體系注重的是風(fēng)險管理的理念，核心思想是為組織業(yè)務(wù)服務(wù)。

二

信息技術(shù)服務(wù)管理體系中的風(fēng)險管理

信息技術(shù)服務(wù)管理體系國際標(biāo)準(zhǔn)2011版中沒有對風(fēng)險管理做出明確的規(guī)定。信息技術(shù)服務(wù)管理體系國際標(biāo)準(zhǔn)2018版按照標(biāo)準(zhǔn)化結(jié)構(gòu)進(jìn)行規(guī)劃，在第6章規(guī)劃中有提及，如6.1應(yīng)對風(fēng)險和機(jī)會的措施[4]。

信息技術(shù)服務(wù)管理體系2018版標(biāo)準(zhǔn)，第8章節(jié)中，針對變更管理流程、服務(wù)可用性管理流程、服務(wù)連續(xù)性管理流程、信息安全控制管理流程，均提到了流程管理過程中的風(fēng)險。

信息技術(shù)服務(wù)管理體系對于風(fēng)險管理的變化，強(qiáng)調(diào)了現(xiàn)代管理的本質(zhì)，即：風(fēng)險管理是核心。

三

業(yè)務(wù)連續(xù)性管理體系中的風(fēng)險管理

業(yè)務(wù)連續(xù)性管理體系國際標(biāo)準(zhǔn)2019版第6章規(guī)劃分為3部分內(nèi)容，其中6.1應(yīng)對風(fēng)險和機(jī)會的措施部分包括：6.1.1確定風(fēng)險與機(jī)會、6.1.2應(yīng)對風(fēng)險和機(jī)會、注釋內(nèi)容。風(fēng)險和機(jī)會與管理系統(tǒng)的有效性有關(guān)，與業(yè)務(wù)中斷有關(guān)的風(fēng)險在8.2中解決[5]。

業(yè)務(wù)連續(xù)性管理體系2019版的標(biāo)準(zhǔn)內(nèi)容和2012版相比，對風(fēng)險管理的總體要求沒有大的變化，風(fēng)險管理是業(yè)務(wù)連續(xù)性管理體系中的一個非常重要的部分。

四

三體系第6章規(guī)劃和第8章運行中風(fēng)險管理的區(qū)別

三體系中均在第6章規(guī)劃中提到了風(fēng)險，除了信息技術(shù)服務(wù)管理體系在第8章中沒有專門提到風(fēng)險管理相關(guān)內(nèi)容，其他2個體系均在第8章中提到風(fēng)險管理相關(guān)內(nèi)容。

第6章有關(guān)風(fēng)險的標(biāo)準(zhǔn)規(guī)定和第8章有關(guān)風(fēng)險標(biāo)準(zhǔn)規(guī)定是不同的。第6章屬于規(guī)劃，應(yīng)該涉及兩方面事項：一是對在實施管理體系規(guī)劃過程中可能出現(xiàn)的風(fēng)險應(yīng)進(jìn)行風(fēng)險評估，即根據(jù)組織本身的業(yè)務(wù)情況、組織所處的環(huán)境、相關(guān)方的需求和期望分析組織在規(guī)劃三個管理體系時，可能遇到的風(fēng)險以及由此帶來的機(jī)遇。二是在體系規(guī)劃過程中，應(yīng)對風(fēng)險管理進(jìn)行規(guī)劃。規(guī)劃的內(nèi)容包括：風(fēng)險評估過程、風(fēng)險評估實施準(zhǔn)則、識別風(fēng)險、風(fēng)險分析、評價風(fēng)險和風(fēng)險處置。

第8章主要是關(guān)于風(fēng)險評估的具體實施。以下通過舉例說明第8章如何實施。如，某公司為客戶提供信息系統(tǒng)軟件研發(fā)服務(wù)，與客戶簽訂合同之后，風(fēng)險管理部門組織進(jìn)行風(fēng)險評估，依照第6章的規(guī)劃進(jìn)行風(fēng)險識別，可采用頭腦風(fēng)暴法識別系統(tǒng)規(guī)劃、分析、設(shè)計、實施過程中的風(fēng)險，如有風(fēng)險登記冊，還可以參考風(fēng)險登記冊中的風(fēng)險，然后針對識別出來的風(fēng)險發(fā)生的可能性、造成的損失逐個進(jìn)行風(fēng)險分析。可采用定量或定性法判定每個風(fēng)險值（定量）或者風(fēng)險的級別。如風(fēng)險值高（依照第6章的規(guī)劃）或者風(fēng)險級別為高的風(fēng)險項，應(yīng)采取風(fēng)險應(yīng)對措施，制定風(fēng)險處置計劃，明確風(fēng)險處置的責(zé)任人。一旦風(fēng)險處置完成，對處置后的風(fēng)險項進(jìn)行再評估，以判定經(jīng)過風(fēng)險處置后的風(fēng)險級別是否達(dá)到可接受的狀態(tài)。

標(biāo)準(zhǔn)中第8章運行中提到的風(fēng)險主要涉及運行過程中的風(fēng)險。三體系均需按照計劃的時間間隔，或當(dāng)重大變更提出或發(fā)生時進(jìn)行風(fēng)險評估，制定風(fēng)險處置計劃，并保留文件化信息[6]。

風(fēng)險評估的活動伴隨著項目的全生命周期，在每次風(fēng)險評估之后，應(yīng)將風(fēng)險評估的過程記錄進(jìn)行歸檔。

五

三體系第6章規(guī)劃實施的建議

如果組織同時實施三體系，那么在體系規(guī)劃過程中是否需要單獨做三份規(guī)劃過程中風(fēng)險與機(jī)遇分析？是否分別制定有關(guān)風(fēng)險評估方面的管理規(guī)定？如果一個組織先實施信息安全管理體系和信息技術(shù)服務(wù)管理體系，后實施業(yè)務(wù)連續(xù)性管理體系，又該怎么辦？

首先，有關(guān)風(fēng)險評估過程、風(fēng)險評估實施準(zhǔn)則、識別風(fēng)險、風(fēng)險分析、評價風(fēng)險和風(fēng)險處置的管理規(guī)定，組織在規(guī)劃過程中沒有必要分別制定。無論從節(jié)約企業(yè)資源的角度，還是組織在實施管理體系過程中的便利程度，建議做好管理體系文件編寫的融合工作。

其次，三體系規(guī)劃過程中的風(fēng)險與機(jī)遇分析，內(nèi)容應(yīng)全面包含信息安全的風(fēng)險、服務(wù)的風(fēng)險和中斷的風(fēng)險。

最后，如果體系的規(guī)劃有前有后，那么應(yīng)在原有體系實施的風(fēng)險與機(jī)遇的基礎(chǔ)上，補(bǔ)充后來規(guī)劃的體系的風(fēng)險與機(jī)遇的內(nèi)容，并同時對原風(fēng)險評估過程、風(fēng)險評估實施準(zhǔn)則、識別風(fēng)險、風(fēng)險分析、評價風(fēng)險和風(fēng)險處置的管理規(guī)定進(jìn)行修訂。

六

三體系第8章運行中風(fēng)險管理的實施

三體系第8章運行部分實施風(fēng)險評估要注意每個體系的側(cè)重點，不能簡單用某一個體系風(fēng)險評估代替其他兩個體系的風(fēng)險評估。

信息安全管理體系在實施過程中風(fēng)險評估的核心是信息安全風(fēng)險。信息技術(shù)服務(wù)管理體系風(fēng)險評估的核心是服務(wù)過程中的風(fēng)險，尤其在服務(wù)過程中變更管理流程、服務(wù)可用性管理流程、服務(wù)連續(xù)性管理流程、信息安全控制管理流程的風(fēng)險，對上述風(fēng)險要進(jìn)行充分識別。業(yè)務(wù)連續(xù)性管理體系的風(fēng)險評估應(yīng)基于業(yè)務(wù)影響分析的結(jié)果進(jìn)行，核心是中斷帶來的風(fēng)險。至于是什么樣的中斷，取決于組織從事的是什么類型的業(yè)務(wù)，但一定是核心業(yè)務(wù)。

基于以上原因，為保障風(fēng)險評估的有效性，三體系在實施過程中的風(fēng)險評估應(yīng)分別開展。

七

總結(jié)

每個組織的業(yè)務(wù)情況有差別，組織內(nèi)部文化也有新差異。隨著人們對風(fēng)險管理認(rèn)識的不斷增強(qiáng)，以及風(fēng)險評估工作對于預(yù)防重大事件發(fā)生的前期重要作用，組織在實施三體系過程中，應(yīng)高度重視風(fēng)險評估的工作，并根據(jù)實際情況實施風(fēng)險管理。