东莞ISO27001认证以资产为核心的信息安全风险的构成要素,东莞ISO45001认证基本目标的4个关键过程

东莞ISO27001认证以资产为核心的信息安全风险的构成要素

东莞 ISO27001认证以资产为核心的信息安全风险的构成要素

（1）风险要素

① 资产

资产是有价值的信息资产。

② 对策

对策是用以减少脆弱性并满足资产所有者的安全策略。

③ 威胁

能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。

④ 脆弱性

在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的，可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。

⑤ 风险

风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。

（2）风险要素关系

① 信息资产的所有者给资产赋予了一定的价值，威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏，对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种：资产破坏性地暴露于未授权的接受者（丧失保密性）；资产由未授权地更改损坏（丧失完整性）；资 产的访问权被未授权地剥夺（丧失可用性）。

② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境，其结果就是风险。这种分析会有助于对策的选择，以应对风险并将其降低到1个可接受的水平。

③ 对策的使用能够减少脆弱性，但残留的脆弱性仍能够被威胁者所利用，从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。

东莞ISO45001认证基本目标的4个关键过程

东莞ISO45001认证基本目标的4个关键过程

(1)组织的ISO45001职业健康安全管理体系方针体现了组织开展ISO45001职业健康安全管理体系管理的基本原则，它体现了组织实现风险控制的总体ISO45001职业健康安全管理体系目标。

(2)危险源辨识、风险评价和风险控制策划，是组织通过ISO45001职业健康安全管理体系的运行，实行风险控制的开端。组织应遵守的ISO45001职业健康安全管理体系法律、法规以及他要求，为组织开展ISO45001职业健康安全管理体系管理，实现良好的ISO45001职业健康安全管理体系绩效，指明了基本的行为准则。ISO45001职业健康安全管理体系目标和旨在实现它的管理方案，是组织降低其ISO45001职业健康安全管理体系风险，实现ISO45001职业健康安全管理体系绩效持续改进的途径和保证。

(3)明确组织内部管理机构和成员的ISO45001职业健康安全管理体系职责，是组织成功运行ISO45001职业健康安全管理体系的根本保证。搞好ISO45001职业健康安全管理体系工作，必须组织内部全体人员具备充分的意识和能力，而这种意识和能力必须适当的教育、培训和经历来获得及判定。组织保持与内部员工和相关方ISO45001职业健康安全管理体系的信息交流，是确保OSHMS持续适用性、充分性和有效性的重要方面。对ISO45001职业健康安全管理体系实行必要的文件化及对文件进行控制，也是保证体系有效运行的必要条件。对组织存在的危险源所带来的风险，除通过目标、管理方案进行持续改进外，还要通过文件化的运行控制程序或应急准备与响应程序来进行控制，以保证组织全面的风险控制和取得良好的OSHMS绩效。

(4)对组织的ISO45001职业健康安全管理体系行为要保持经常化的监视，这其中包含组织遵守法规情况的监测，以及ISO45001职业健康安全管理体系绩效方面的监测。对于所产生的事故、事件、不符合，组织要及时纠正，并采取预防措施。良好的ISO45001职业健康安全管理体系记录和记录管理，也是组织ISO45001职业健康安全管理体系有效运行的必要条件。ISO45001职业健康安全管理体系审核的目的是，检查ISO45001职业健康安全管理体系是否得到了正确的实施和保持，它为进1步改进ISO45001职业健康安全管理体系提供了依据。管理评审是组织的最高管理者，对ISO45001职业健康安全管理体系所作的定期评审，目的是确保体系的持续适用性、充分性和有效性，最终达到持续改进的目的。 ISO45001体系认证不要为了"ISO45001认证而认证“！