东莞ISO14064认证的七个步骤
东莞ISO14064认证的七个步骤
(一)查验申请
向BSI提出申请,并确认查验目的,填写查验问卷。
(二)决定查验范围
BSI依据企业所提出的资料,决定查验范围,依据标准,决定所需人天数。
(三)签约
在双方同意查验范围和目的后,即签订合约并安排各阶段执行的时间。
(四)文件审查
此阶段是整个查验流程的开始,目的在于确认企业所提出盘查报告书的范围是否与查验范围一致,盘查条件的设定,以及报告书的完整性与正确性;可由查验小组到厂(on-site)或离厂(off-site)的方式执行。
(五)第一阶段查验
此阶段是整个温室气体查验流程中最重要的1个阶段,且必须由查验小组到厂执行。
其目的在于:
现场确认盘查报告书的边界与内容。
确认盘查准则,包含实质性、排放源与门槛等。
确认盘查内容,包含排放活动的现场查验、排放系数的计算、以及量测设计、操作与校正等。
澄清在文件审查阶段的所有问题。
(六)第二阶段查验
此阶段仍必须由查验小组到厂执行,由于大部分盘查数据的查验工作已在第一阶段完成,因此这个阶段的主要工作,在于确认上一阶段所开出缺失项目的改正情形,与盘查报告书的修正状况,以便进行最后盘查数据的确认。
假如尚有任何缺失,查验小组则仍会将其详列于此阶段的查验报告中,而这些缺失必须在发证前完成改善,并由查验小组审查同意。
(七)发出查验声明书及后续查验
在确认所有的盘查内容与同意缺失的改善后,BSI即可发出查验声明书,在此声明书中,将列明被查验机构的名称、地址、以及该年度的温室气体排放总量。
在组织取得查验声明书后,应每一年对温室气体的排放量进行削减,并对排放情形进行盘查。每一年BSI的查验小组再回到现场,对“下年度减量目标的达成或/和“下年度的组织运营范围、生产流程等变动部分予以查验,并再签发该年度的查验声明书
东莞ISO27001认证以资产为核心的信息安全风险的构成要素
东莞 ISO27001认证以资产为核心的信息安全风险的构成要素
(1)风险要素
① 资产
资产是有价值的信息资产。
② 对策
对策是用以减少脆弱性并满足资产所有者的安全策略。
③ 威胁
能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。
④ 脆弱性
在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的,可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。
⑤ 风险
风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。
(2)风险要素关系
① 信息资产的所有者给资产赋予了一定的价值,威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏,对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种:资产破坏性地暴露于未授权的接受者(丧失保密性);资产由未授权地更改损坏(丧失完整性);资 产的访问权被未授权地剥夺(丧失可用性)。
② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到1个可接受的水平。
③ 对策的使用能够减少脆弱性,但残留的脆弱性仍能够被威胁者所利用,从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。