东莞ISO27001认证以资产为核心的信息安全风险的构成要素
东莞 ISO27001认证以资产为核心的信息安全风险的构成要素
(1)风险要素
① 资产
资产是有价值的信息资产。
② 对策
对策是用以减少脆弱性并满足资产所有者的安全策略。
③ 威胁
能够通过未授权访问、毁坏、揭露、数据修改和拒绝服务对系统造成潜在危害的任何环境或事件。
④ 脆弱性
在信息系统、系统安全程序、管理控制、物理设计、内部控制或实现中存在的,可能被攻击者利用于获得未授权的信息或破坏关键处理的弱点。
⑤ 风险
风险是由威胁发生的可能性、威胁所导致的不利影响以及影响的严重程度来决定。
(2)风险要素关系
① 信息资产的所有者给资产赋予了一定的价值,威胁主体希望以违背所有者初衷的方式滥用和破坏资产。资产所有者意识到这种威胁可能致使资产损坏,对所有者而言 资产中的价值将会降低。其中资产的安全性损坏包含以下几种:资产破坏性地暴露于未授权的接受者(丧失保密性);资产由未授权地更改损坏(丧失完整性);资 产的访问权被未授权地剥夺(丧失可用性)。
② 资产所有者必须分析可能的威胁并明确什么存在于他们的环境,其结果就是风险。这种分析会有助于对策的选择,以应对风险并将其降低到1个可接受的水平。
③ 对策的使用能够减少脆弱性,但残留的脆弱性仍能够被威胁者所利用,从而造成资产的残余风险。资产所有者会通过给出其它的约束来寻求最小的残余的风险。
东莞ISO45001认证基本目标的4个关键过程
东莞ISO45001认证基本目标的4个关键过程
(1)组织的ISO45001职业健康安全管理体系方针体现了组织开展ISO45001职业健康安全管理体系管理的基本原则,它体现了组织实现风险控制的总体ISO45001职业健康安全管理体系目标。
(2)危险源辨识、风险评价和风险控制策划,是组织通过ISO45001职业健康安全管理体系的运行,实行风险控制的开端。组织应遵守的ISO45001职业健康安全管理体系法律、法规以及他要求,为组织开展ISO45001职业健康安全管理体系管理,实现良好的ISO45001职业健康安全管理体系绩效,指明了基本的行为准则。ISO45001职业健康安全管理体系目标和旨在实现它的管理方案,是组织降低其ISO45001职业健康安全管理体系风险,实现ISO45001职业健康安全管理体系绩效持续改进的途径和保证。
(3)明确组织内部管理机构和成员的ISO45001职业健康安全管理体系职责,是组织成功运行ISO45001职业健康安全管理体系的根本保证。搞好ISO45001职业健康安全管理体系工作,必须组织内部全体人员具备充分的意识和能力,而这种意识和能力必须适当的教育、培训和经历来获得及判定。组织保持与内部员工和相关方ISO45001职业健康安全管理体系的信息交流,是确保OSHMS持续适用性、充分性和有效性的重要方面。对ISO45001职业健康安全管理体系实行必要的文件化及对文件进行控制,也是保证体系有效运行的必要条件。对组织存在的危险源所带来的风险,除通过目标、管理方案进行持续改进外,还要通过文件化的运行控制程序或应急准备与响应程序来进行控制,以保证组织全面的风险控制和取得良好的OSHMS绩效。
(4)对组织的ISO45001职业健康安全管理体系行为要保持经常化的监视,这其中包含组织遵守法规情况的监测,以及ISO45001职业健康安全管理体系绩效方面的监测。对于所产生的事故、事件、不符合,组织要及时纠正,并采取预防措施。良好的ISO45001职业健康安全管理体系记录和记录管理,也是组织ISO45001职业健康安全管理体系有效运行的必要条件。ISO45001职业健康安全管理体系审核的目的是,检查ISO45001职业健康安全管理体系是否得到了正确的实施和保持,它为进1步改进ISO45001职业健康安全管理体系提供了依据。管理评审是组织的最高管理者,对ISO45001职业健康安全管理体系所作的定期评审,目的是确保体系的持续适用性、充分性和有效性,最终达到持续改进的目的。 ISO45001体系认证不要为了"ISO45001认证而认证“!