东莞ISO14064认证的七个步骤,东莞ISO27001认证以资产为核心的信息安全风险的构成要素

东莞ISO14064认证的七个步骤

东莞ISO14064认证的七个步骤

（一）查验申请

向BSI提出申请，并确认查验目的，填写查验问卷。

（二）决定查验范围

BSI依据企业所提出的资料，决定查验范围，依据标准，决定所需人天数。

（三）签约

在双方同意查验范围和目的后，即签订合约并安排各阶段执行的时间。

（四）文件审查

此阶段是整个查验流程的开始，目的在于确认企业所提出盘查报告书的范围是否与查验范围一致，盘查条件的设定，以及报告书的完整性与正确性；可由查验小组到厂（on-site）或离厂（off-site）的方式执行。

（五）第一阶段查验

此阶段是整个温室气体查验流程中最重要的1个阶段，且必须由查验小组到厂执行。

其目的在于：

现场确认盘查报告书的边界与内容。

确认盘查准则，包含实质性、排放源与门槛等。

确认盘查内容，包含排放活动的现场查验、排放系数的计算、以及量测设计、操作与校正等。

澄清在文件审查阶段的所有问题。

（六）第二阶段查验

此阶段仍必须由查验小组到厂执行，由于大部分盘查数据的查验工作已在第一阶段完成，因此这个阶段的主要工作，在于确认上一阶段所开出缺失项目的改正情形，与盘查报告书的修正状况，以便进行最后盘查数据的确认。

假如尚有任何缺失，查验小组则仍会将其详列于此阶段的查验报告中，而这些缺失必须在发证前完成改善，并由查验小组审查同意。

（七）发出查验声明书及后续查验

在确认所有的盘查内容与同意缺失的改善后，BSI即可发出查验声明书，在此声明书中，将列明被查验机构的名称、地址、以及该年度的温室气体排放总量。

在组织取得查验声明书后，应每一年对温室气体的排放量进行削减，并对排放情形进行盘查。每一年BSI的查验小组再回到现场，对“下年度减量目标的达成或/和“下年度的组织运营范围、生产流程等变动部分予以查验，并再签发该年度的查验声明书

东莞ISO27001认证以资产为核心的信息安全风险的构成要素

东莞 ISO27001认证以资产为核心的信息安全风险的构成要素

（1）风险要素

① 资产

资产是有价值的信息资产。

② 对策

对策是用以减少脆弱性并满足资产所有者的安全策略。

③ 威胁

能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。

④ 脆弱性

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的，可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。

⑤ 风险

风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。

（2）风险要素关系

① 信息资产的所有者给资产赋予了一定的价值，威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏，对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种：资产破坏性地暴露于未授权的接受者（丧失保密性）；资产由未授权地更改损坏（丧失完整性）；资 产的访问权被未授权地剥夺（丧失可用性）。

② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境，其结果就是风险。这种分析会有助于对策的选择，以应对风险并将其降低到1个可接受的水平。

③ 对策的使用能够减少脆弱性，但残留的脆弱性仍能够被威胁者所利用，从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。