以新角度看待质量管理体系,以资产为核心的信息安全风险的构成要素

以新角度看待质量管理体系

实施质量管理体系所面临的最大挑战之一是一些组织最高管理者缺乏对质量管理体系能够为其组织带来财务和经济效益的正确理解和认识；

组织最高管理者仅有认识到质量管理体系能够为其组织带来实际价值，才能对质量管理体系给予全面认同、承诺和支持；

ISO 10014 《质量管理——实现财务和经济效益指南》专为组织最高管理者而制定，能够协助组织最高管理者正确理解和认识质量管理体系能够为组织带来的财务和经济效益；

修订后的ISO 10014将更加简明化、结构化、系统化，值得广大质量专业工作者关注和未来应用。

以新角度看待质量管理体系

正在修订的ISO 10014对于最高管理者更具吸引力

在以往关于质量管理体系的文章中，曾多次经探讨过质量管理体系的重要性、有效实施质量管理体系给组织带来经济利益、质量职能怎样能够体现对组织的意义以及专业质量工作者怎样证明其自身价值等议题。

这些文章内容为正在修订的IS0 10014 《质量管理——实现财务和经济效益指南》奠定了基础。本文将主要介绍ISO 10014的修订情况。

最高管理者的作用

ISO 9001在其要求中曾经多次强调组织最高管理者应对有效实施质量管理体系发挥领导作用并做出承诺，而ISO 10014就是为组织最高管理者而制定的。没有组织最高管理者所发挥的领导作用及做出的承诺，任何良好的倡议都不能得到实现。而至关重要的是，组织最高管理者必须能够看到自己全心全意认同并支持的这些倡议，能够为组织带来富有成效的实际价值。

那么，谁是“最高管理者呢？根据ISO 9000：2015的术语定义，最高管理者是“在最高层指挥和控制组织的1个人或一组人。对于1个大型组织而言，最高管理者可能是首席执行官，以及领导各个职能部门并向首席执行官直接报告的高级管理人员。而对于一家小型企业而言，最高管理者可能就是企业所有者、合伙人和关键投资者。

组织最高管理者有许多职责，这些职责在ISO9001：2015第5章中都有相应的要求。而从业务的角度来讲，组织最高管理者还有这几项主要职责，包含：

使自己经营的组织保持安全、合法以及符合道德规范，并在组织所运行的各个业务区域遵守当地所有适用的法律法规要求；

确保股东、投资者及相关方的价值；

确保组织的战略与其使命、愿景和价值观相一致；

确保组织的财务健康和长期可持续性。

除了这些主要职责，组织最高管理者其他职责和关注度都有一定的局限性。然而，毫无疑问，在1个充满顾客和相关方期望不断转变、高度竞争和挑战、重大地缘政治转变、贸易紧张局势、关税壁垒、工会谈判和严苛无情社交媒体的世界里，组织最高管理者的工作就变得越来越重要。与此同时，组织所有职能和岗位也都非常重要——组织的每一部分职能都必须通过卓有成效的工作实现目标，因此，组织最高管理者必须安排一定的时间来监视每1个职能的绩效。

ISO 10014修订过程

当ISO 10014工作团队开始根据修订后的ISO 9000：2015和ISO 9001：2015内容（例如质量管理原则、新的概念和术语）对ISO 10014进行修订时，我们决定从整体上对这一标准进行全面修订，而不仅仅只针对与ISO 9000：2015和ISO 9001：2015相一致的部分进行修订。

原有ISO 10014：2006包含有29页内容、9个详细图示和7页自我评估调查表。根据ISO 10014的上述情况，我们对这一标准的第一印象是，这是1个由质量专业人员为质量专业人员所制定的高度专业化的标准，可是这一标准并不适合最高管理者来使用。假如我们把这个标准交给最高管理者使用，那么最高管理者可能会将其转交给质量经理来进行阅读和总结，而不是由最高管理者自己来做这些工作。并且，这一标准也可能使用了更多的专业语言来描述其标题：ISO 10014 《质量管理——实现财务和经济效益的指南》。

对此，我们深刻意识到修订工作遇到了难题。那么，我们应当从哪里开始这一修订工作呢？根据ISO标准修订过程，我们针对ISO 10014的修订制定了1个设计规范，详细说明了打算进行的所有修订工作安排（详见“ISO 10014修订时间表）。

我们希望通过这次对ISO 10014的修订，将这一标准进行简化，只在适当的地方使用专业语言，从而使其更加适用于组织最高管理者快速而容易地阅读和理解，并使其成为组织最高管理者喜欢使用的标准。与此同时，我们希望在修订过程中明确地表达ISO 10014的意图，以明确说明有效实施质量管理体系可能获得的财务和经济效益。

当然，假如对ISO 10014进行这样的修订，说起来容易，而做起来却很难，这就要求对整个标准进行重新编写。对于国际标准化组织在2006年所发布的ISO 10014这一专业性很强的标准进行整体重新编写，是一件多少令人有些头痛的事情。然而，我们必须这样来做，由于我们的使命就是使组织最高管理者充分认识到有效实施质量管理体系能够为其组织带来富有成效的实际价值。

为了有效地开展ISO 10014的修订工作，我们在一次国际会议上举办了1个专题研讨会，以听取我们的质量专业同行们关于对ISO 10014进行修订的方向性意见。为此，我们向研讨了参加者提出以下问题：

1. 为了实现（和维持）财务和经济效益，你（作为研讨会参加者）对质量管理体系的关键期望是什么？

2. 组织最高管理者的什么关键期望对于实现（和维持）财务和经济效益是至关重要的？

3. 你（作为研讨会参加者）对于ISO 10014修订的方向性意见是什么？例如，标准结构或相关内容。

来自18个国家不同行业、业务类型、规模和复杂性组织的35名质量专业人员出席了这次研讨会，对于以上问题，我们收到了这些研讨会参加者非常有益的反馈意见。这些反馈意见主要分为以下几方面：

组织最高管理者是应用ISO 10014的目标对象；

在这次ISO 10014修订中，提出在质量管理体系和组织业务之间建立强有力联络的要求；

修订后的ISO 10014具有简明性和适应性——适用于任何行业、业务类型、规模和复杂性的组织；

在这次ISO 10014修订中，提出指标、监视和工具等方面的要求。

我们的工作团队采纳了这些质量专家们的反馈意见，并以此对ISO 10014修订方案进行了改进，以对这一标准进行更加有效的修订。对于ISO 10014的修订，我们认为结构化方法是对这一进行修订的关键因素，为此，我们的工作团队集思广益，找到了开发这种结构化方法的最佳方案。而来自不同质量专家的反馈意见则包含在基于以下方法的结构中：

质量管理原则（保持与ISO 10014：2006相同的结构）；

质量成本分类（预防、鉴定和失效成本）；

附件SL管理体系标准高级结构（与管理体系要求相同，例如ISO 9001）；

过程方法（输入源、输入、活动、输出和顾客）；

持续改进方法（例如策划—实施—检查—处置方法）。

我们对作为标准结构使用的每种方法的利弊都进行了评价，认为标准结构必须简明扼要而容易执行，包含采用最小和基本的步骤，并关注管理。最高管理者最关注的是组织的财务绩效、可持续性和经济增长，为此，我们决定从财务绩效开始，作为自上而下的标准结构。通常，最高管理者会对财务绩效进行定期评审，假如最高管理者对于财务绩效的期望没有得到满足，那么最高管理者就会责成业务过程负责人来调查是什么问题导致产生这样的结果，并解决相关问题。这正是我们所希望达到的效果。其次，业务过程负责人就会使用结构化的“策划—实施—检查—处置（PDCA）方法，来对最影响组织财务绩效结果的过程进行改进。质量管理体系要求与总体结构化方法相联络，从而能够展示有效实施质量管理体系能够协助组织实现其财务和经济效益。

在这次专题研讨会上，参加者的反馈意见还包含指标、监视和工具等内容，因此我们增加了1个简明自我评估调查表（工具），而这一调查表也采用了自上而下的结构。这样就能够使组织对其总体结构的基准绩效进行测量，并根据从1至5成熟度等级区划（见表2），来对组织的成熟度进行定期监视。假如达到了比较高的成熟度等级，则意味该组织通过有效实施质量管理体系，从而实现了财务和经济效益。

增加价值

我们的工作团队希望通过增加怎样将自上而下标准结构适用于不同行业组织的案例，来为正在修订的ISO 10014带来更多价值。为此，我们编制了1个通用案例和1个制造行业案例，并计划再编制1个服务行业案例，同时保持这一标准的精益度。根据ISO 10014的修订计划，这一标准将于2021年3月发布。我们希望ISO 10014将作为1个宝贵的资源来与组织最高管理者沟通质量管理体系，从而使组织最高管理者对质量管理体系有1个全新而正确的认识。

关于ISO 10014的修订，ISO 10014委员会草案（CD草案）已经以86%的赞成票率获得了压倒性的通过，并且特别令人欣喜的是，来自ISO/TC 176的多个P成员还对ISO 10014的修订工作提出了多项建设性意见。目前，ISO 10014的修订工作正在顺当进行，并得到了全世界许多质量专业人员的关注。希望对ISO 10014感兴趣的质量专业人员能够参与这一标准的修订工作，并在其中发挥有益而重要的作用。

来源：《中国认证认可》杂志 2020年第3期原载《质量进展》（Quality Progress）2019年第11期戈文德&midDOT;拉穆（Govmd Ramu）李文远 译

以资产为核心的信息安全风险的构成要素

ISO27001信息安全风险的构成要素：以资产为核心的信息安全风险的构成要素

1993年，英国、法国、德国、荷兰欧共体同加拿大、美国 NIST 和 NSA六国七方组成CC工作组，制定了国际通用的评估准则——CC（CommonCriteria）。并于1996年颁布了CC1.0版，1998年颁布了CC2.0版。1999年6月，ISO接纳CC2.0版为 ISO/IEC 15408草案，并定名为“信息技术-安全技术-IT 安全性评估准则，但仍用CC作为其简称。1999年12月，在广泛征求意见并进行修改后，正式颁布国际标准 ISO/IEC 15408 CC 2.1 版。2001年3月，我国国家质量技术监督局将其作为国家标准GB/T18336正式颁布，并于 2001年正式实施。

CC 标准含3个部分：第一部分：简介和通常模型；第二部分：安全功能要求；第三部分：安全保证要求。其中在第一部分，定义了信息安全风险的构成要素威胁、风 险、脆弱性、资产、对策等关键的风险要素概念和它们所涉及到的主体即所有者和威胁主体。根据 CC 的思想，以所有者要保护的资产作为核心，给出了威胁、风险、脆弱性、对策与资产之间的关系，如下图：

图 CC风险要素和关系

（1）风险要素

① 资产

资产是有价值的信息资产。

② 对策

对策是用以减少脆弱性并满足资产所有者的安全策略。

③ 威胁

能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。

④ 脆弱性

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的，可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。

⑤ 风险

风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。

（2）风险要素关系

① 信息资产的所有者给资产赋予了一定的价值，威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏，对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种：资产破坏性地暴露于未授权的接受者（丧失保密性）；资产由未授权地更改损坏（丧失完整性）；资 产的访问权被未授权地剥夺（丧失可用性）。

② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境，其结果就是风险。这种分析会有助于对策的选择，以应对风险并将其降低到1个可接受的水平。

③ 对策的使用能够减少脆弱性，但残留的脆弱性仍能够被威胁者所利用，从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。