GB/T 22080-2016已经于2016-08-29发布，2017-03-01将会正式实施，虽然小伙伴们最近已经完成了标准的升级换版工作。但是关于新版标准后有不少地方的理解还是容易引起歧义的。
今天我就对标准正文6.1章节中关于“机会”的理解做个解读，一家之言，仅做参考！
标准原文如下：
---------------------------------------------我是分割线君--------------------------------------------------------------

6.1　应对风险和机会的措施

6.1.1总则

当规划信息安全管理体系时，组织应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以：

• 确保信息安全管理体系可达到预期结果；
• 预防或减少不良影响；
• 达到持续改进。
  
  

组织应规划：

• 应对这些风险和机会的措施；
• 如何：
  • 将这些措施整合到信息安全管理体系过程中，并予以实现；
  • 评价这些措施的有效性。
    
    
  
  

---------------------------------------------我是分割线君--------------------------------------------------------------


中文中，“机会”的含义是指具有时间性的有利情况，比如，危险和机会并存。
《说文解字》解释如下：
机:机通“积”，“几”即数量，意取累积，积木生机，助缘合因，至取正果。道运化因缘成果之无形法即是“机”。
木应天地因缘感召，得天之气，积阳之温，化地之水，聚土之尘，累积木几，曲直向上，执著生“机"，通天会地，修木高尚，至成机会。
所以，在中文里，“机会”强调的是（机遇，关键因素）
看到这里，不少小伙伴一定蒙了，这是搞事情啊，以前只要识别风险，现在还要识别机遇，多干活老板又不给涨工资啊！
那么是否在2013版27001实施风险评估中，除了识别风险还要识别机遇呢？
我认为这种理解的偏差其实是来自于英文翻译的问题。
英文原文这段的标题是“Actions to address risks and opportunities”，“opportunities”这个词被翻译成“机会”并没有问题（有问题我也不敢说，因为字典上就是这样写的）但是，跟我们中文语境中所的“机会”真的不太一样，它强调的是（条件），如 造成XXX的时机或条件。并不一定指有利的条件，所以在标准原文中出现了“不当使用组织资产的机会”、“未授权访问的机会”这样的语句。
---------------------------------------------我是分割线君--------------------------------------------------------------

A.6.1.2 职责分离 控制
应分离冲突的职责及其责任范围，以减少未授权或无意的修改或者不当使用组织资产的机会。
A.11.2.1 设备安置和保护 控制
应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

---------------------------------------------我是分割线君--------------------------------------------------------------

所以，标准你说要识别风险和机会，这里的机会应该是指造成风险的条件，比如有什么威胁，或者有什么弱点，可能引发什么风险。

来自群组: 坐而论道思而慎行

GB/T 22080-2016已经于2016-08-29发布，2017-03-01将会正式实施，虽然小伙伴们最近已经完成了标准的升级换版工作。但是关于新版标准后有不少地方的理解还是容易引起歧义的。
今天我就对标准正文6.1章节中关于“机会”的理解做个解读，一家之言，仅做参考！
标准原文如下：
---------------------------------------------我是分割线君--------------------------------------------------------------

6.1　应对风险和机会的措施

6.1.1总则

当规划信息安全管理体系时，组织应考虑4.1中提到的事项和4.2中提到的要求，并确定需要应对的风险和机会，以：

• 确保信息安全管理体系可达到预期结果；
• 预防或减少不良影响；
• 达到持续改进。
  
  

组织应规划：

• 应对这些风险和机会的措施；
• 如何：
  • 将这些措施整合到信息安全管理体系过程中，并予以实现；
  • 评价这些措施的有效性。
    
    
  
  

---------------------------------------------我是分割线君--------------------------------------------------------------


中文中，“机会”的含义是指具有时间性的有利情况，比如，危险和机会并存。
《说文解字》解释如下：
机:机通“积”，“几”即数量，意取累积，积木生机，助缘合因，至取正果。道运化因缘成果之无形法即是“机”。
木应天地因缘感召，得天之气，积阳之温，化地之水，聚土之尘，累积木几，曲直向上，执著生“机"，通天会地，修木高尚，至成机会。
所以，在中文里，“机会”强调的是（机遇，关键因素）
看到这里，不少小伙伴一定蒙了，这是搞事情啊，以前只要识别风险，现在还要识别机遇，多干活老板又不给涨工资啊！
那么是否在2013版27001实施风险评估中，除了识别风险还要识别机遇呢？
我认为这种理解的偏差其实是来自于英文翻译的问题。
英文原文这段的标题是“Actions to address risks and opportunities”，“opportunities”这个词被翻译成“机会”并没有问题（有问题我也不敢说，因为字典上就是这样写的）但是，跟我们中文语境中所的“机会”真的不太一样，它强调的是（条件），如 造成XXX的时机或条件。并不一定指有利的条件，所以在标准原文中出现了“不当使用组织资产的机会”、“未授权访问的机会”这样的语句。
---------------------------------------------我是分割线君--------------------------------------------------------------

A.6.1.2 职责分离 控制
应分离冲突的职责及其责任范围，以减少未授权或无意的修改或者不当使用组织资产的机会。
A.11.2.1 设备安置和保护 控制
应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及未授权访问的机会。

---------------------------------------------我是分割线君--------------------------------------------------------------

所以，标准你说要识别风险和机会，这里的机会应该是指造成风险的条件，比如有什么威胁，或者有什么弱点，可能引发什么风险。

来自群组: 坐而论道思而慎行