?與(yu)ISO9000標準有很強的(de)兼容(rong)性(xing)?
ISO14000標準的基本要求?
要求建立文件化的環境管理體系 ?
制定環境方針,作出環境保護的承諾
識別企業的環境因素,制定目標指標以改善環境狀況 ?
要求污染預防,持續改進,遵守法律法規 ?
針對企業的重要環境崗位,建立作業程序加以控制 ?
注意各方面的信息溝通 ?
要求對緊急突發事件,建立應急和響應計劃?
實施ISO14000的好處?
隨著經濟全球化趨勢日益明顯,越來越多的企業將實施全球化經濟戰略。企業的環境表現已成為政府、企業及其他組織采購產品選擇服務時優先考慮的因素之一,ISO14000標準對于提高各類組織的環境管理水平、節約資源、提高效益、降低風險具有全面的推進作用,目前一些著名的跨國企業已開始制訂實施ISO14000的內部計劃,并將ISO14000作為對其供應商環境管理的考核標準。在全球日益重視環境保護的今天,建立ISO14000標準體系,是各類組織提高市場競爭力,進入世界市場特別是歐美市場的綠色通行證,是中國企業突破綠色壁壘,增強市場競爭力的有效手段。具體說來實施ISO14000認證將帶給企業如下益處:?
改進環保表現,減輕環保壓力,提高企業形象 ?
增強環保意識,保護環境,保障員工職業健康 ?
減少企業污染、節能降耗、綠化公司形象 ?
突破"綠色壁壘",產品進入國際市場 ?
提高企業管理水平,增強企業競爭力
減少環保成本,降低環境風險。?
申請ISO14000國際環境管理體系認證須提交的文件清單:?
環境因素及重要環境因素清單 ?
法律法規清單 ?
目標、指標、環境管理方案 ?
四個證明(如適用):市(地)級以上環境保護行政主管部門出具的證明文件包括 ?
通過環境影響報告書(表)的批文復印件 ?
通過"三同時"驗收證明文件的復印件 ?
污染物濃度及總量控制指標達標排放證明人?
體系運行其間未受到環境行政處罰的證明 ?
區平面圖 ?
社區平面圖 ?
動力及下水管網圖(如適用) ?
環境監測報告(體系運行后) ?
主要有毒有害化學品清單 ?
相關法律法規及排放標準 ?
之前的審核記錄及報告等等
?
認證流程
認證標準
1 范圍?
1.1 總則?
本標(biao)準(zhun)適用(yong)于所有類(lei)型的(de)組(zu)(z������u)(zu)織(例如,商業(ye)企業(ye)、政府機構、非贏利組(zu)(zu)(zu)織)。本標(biao)準(zhun)從(cong)組(zu)(zu)(zu)織的(de)整體業(ye)務風險的(de)角(jiao)度,為建(jian)立、實(shi)施、運行、監視(shi)、評審、保持(chi)和(he)改進文(wen)件化(hua)的(de)ISMS規定(ding)了要求(qiu)。它規定(ding)了為適應(ying)不同組(zu)(zu)(zu)織或其部門(men)的(de)需要而定(ding)制(zhi)的(de)安全控制(zhi)措施的(de)實(shi)施要求(qiu)。?
ISMS的設計應(ying)確保選擇(ze)適當和����相宜(yi)的安全(quan)控(kong)制措施,以充(chong)分保護������信息資產并給予相關方信心。?
注1:本標(biao)準(zhun)中(zhong)的“業務������”一詞應廣(guang)義的解釋(shi)為(������wei)關系一個(ge)組織生(sheng)存(cun)的核心活動(dong)。?
注(zhu)2�����:ISO/IEC 17799提供(gong)了設計控制措施(shi)時(shi)可使用的實施(s����hi)指南。?
1.2 應用?
本標準規定(ding)的要(yao)求是(shi)通(tong)用(yong)的,適用(yong)于(yu)各種類型、規模和特性(xing)的組(zu)織������(zhi)。組(zu)織(zhi)聲稱符合本標準時,對于(yu)4、5、6、7和����8章(zhang)的要(yao)求不(bu)能刪減。?
為了(le)滿(man)足(zu)風險接受準(zhun)則(ze)所(suo)必(bi)須進行的(de)任何控(kong)制措施的(de)刪減,必(bi)須證明(ming)是合(he)(he)理的(de),且需要提(ti)供(gong)證據證明(ming)相關風險已(yi)被負責(ze)人�������員接受。除非刪減不(bu)影響組(zu)織(zhi)滿(man)足(zu)由(you)風險評估和適用法律(lv)法規要求(qiu)所�������(suo)確(que)定的(de)安全要求(qiu)的(de)能力和/或責(ze)任,否則(ze)不(bu)能聲稱符合(he)(he)本標準(zhun)。?
注:如(ru)果(guo)一個組織已(yi)經有(you)一個運轉著的(de)(de)業務過程管理體(ti)系(例如(ru),與ISO 9001或者ISO 1�������4001相關(guan)的(de)(de)),那么在大多數情況下,更(geng)可取的(de)(de)是在這個現有(you)������的(de)(de)管理體(ti)系內滿足本標準的(de)(de)要(yao)求。?
2 規(gui)范性(xing)引(yin)用文件?
下(xia)列參����考文(wen������)件(jian)對于(yu)(yu)本文(wen)件(jian)的應用(yong)(yong)是(shi)必不可少的。凡(fan)是(shi)注日期的引(yin)用(yong)(yong)文(wen)件(jian),只有引(yin)用(yong)(yong)的版本適(shi)(shi)用(yong)(yong)于(yu)(yu)本標準(zhun);凡(fan)是(shi)不注日期的引(yin)用(yong)(yong)文(wen)件(jian),其最新版本(包括任何修改)適(shi)(shi)用(yong)(yong)于(yu)(yu)本標準(zhun)。?
ISO/IC17�������7�������99:2005,信息(xi)技(ji)術—安全(quan)技(ji)術—信息(xi)安全(quan)管理(li)實用規則。?
3 術語和定義?
本標(biao)準(zhun)采用以(yi)下術語和定義。?
3.1?
資產 asset?
任何對(dui)組織有(you)價值的東西(xi)[ISO/IEC 13335-1:2004]。?
3.2?
可用性 availability?
根據授(shou)權實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。?
3。3?
保密(mi)性(xing)confidentiality?
信息(xi)不能被未授權的個�������人,實體或者(zhe)過程利(li)用或知悉的特性[ISO/IEC 13335-1:2004]。?
3.4信息安全information security?
保證信息的保密(mi)性(xing)(xing),完整(zheng)性(xing)(xing),可用性(xing)(xing);另外也(ye)可包括諸如(ru)真(zhen)實性(xing)(xing),可核查性(xing)(xing),不可否(f���������ou)認性(xing)(xing)和可靠性(xing)(xing)等特性(xing)(xing)[ISO/IEC 17799:2005]。?
3.5?
信(xin)息安(an)全(quan)事(shi)態 information sec������urity����� event?
信(xin)(xin)息安全事態(tai)是指系統、服務或(huo)網絡的(de)一(yi)種可識別的(de)狀(zhuan�������g)態(tai)的(de)發生,它可能是對信(xin)(xin)息安全策略的(de)違反或(huo)防護措(cuo)施的(de)失效,或(huo)是和(he)安全關聯的(de)一(yi)個先(xian)前未(wei)����知(zhi)的(de)狀(zhuang)態(tai)[ISO/IEC TR 18044:2004]。?
3.6?
信息安全事件 information security incident?
一個信(xin)息(xi)安全(quan)事(shi)件由(you)單個的(de)(de)或一系列的(de)(de)有(you)������害(hai)或意(yi)外信(xin)息(xi)安全(quan)事(shi)態組成,它(ta)們具(������ju)有(you)損害(hai)業(ye)務運作和威(wei)脅(xie)信(xin)息(xi)安全(quan)的(de)(de)極大的(de)(de)可能性[ISO/IEC TR 18044:2004]。?
3.7?
信(xin)息安全管理(li)體(ti)系(ISMS) information security management �����system(ISMS��������)?
是(shi)整個管理(li)體系(xi)的一部分(fen)。它是(shi)基(ji)于業務(wu)風險方法,來建立、實(shi)施、運行(xing)、監視、評(ping)審、保持������(�����chi)和改進(jin)信息安全的。?
?
注:管(guan)理體(ti)系包(bao)括組(zu)織結構、方(fang)針策略、規劃活動������、職(�������zhi)責、實踐、程序、過程和資源。?
?
3.8?完(wan)整(zheng)性(xing)integrity?
保護資產的準確和完整的特(te)性[ISO/IEC 13335-1:2004]。?
3.9?
殘余風險 residual risk?
經(jing)過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。?
3.10?
風險接受risk acceptance?
接受風險的(de)決定(ding)[ISO/IEC Guide 73:2002]。?
3.11?
風險分析risk analysis?
系(xi)統地(di)使用信(xin)息(xi)來識別風險來源和估(gu)計風險[ISO/IEC���� Guide 73:2002]。?
3.12?
風險評估risk assessment?
風險分(fen)析和風險評價的整個過程[ISO/IEC Guide 73:2002]。?
3.13?
風險評價risk evaluation?
將估計的風險(xian)與給定的風險(xian)準(zhun����)則加以比較以確定風險(xian)嚴重性的過程[ISO/IEC Guid������e 73:2002]。?
3.14?
風險(xian)管理(li)risk management?
指(z��hi)導和控制一個組織相關風險(xian)的協調活�������動(dong)[ISO/IEC Guide 73:2002]。?
3.15?
風險(xian)處理risk treatment?
選擇并且執行措施來更改風險的(de)過程[ISO/IEC Guide 73:2002]。?
3.16?
2 術(shu)語(yu)“責任(ren)人(ren)”標識(shi)了已經獲得(������de)管理者的批準,負(fu)責產������生、開發、維護(hu)、使用和保證(zheng)資產的安全的個人(ren)或實(shi)體。術(shu)語(yu)“責任(ren)人(ren)”不是(shi)指該人(ren)員實(shi)際上對資產擁有所(suo)有權。?
適用(yong)性聲明statement of applicability?
描述與組織的(de)信(xin)息安全管(����guan)理體(ti)系相關的(de)和適用的(de)控制(zhi)目標和控制(zhi)措施(shi)的(de)文檔。?
注:控(kong)制目標和(he)(he)控(kong)制措施基于風險評估和(he)(he)風險處理過程(cheng)的(d�������e)結果和(he)(he)結論、�����法(fa)(fa)律法(fa)(fa)規的(de)要求、合同義務(wu)以及組織對于信息(xi)安全的(de)業(ye)務(wu)要求。?
4 信息安全管理(li)體系(ISMS)?
4.1 總要求?
組織應在(z����ai)其(qi)整(zheng)體業(ye)務活動和(he)所(suo)面臨風險的(de)(de)環境下建(jian)立、實(shi)施、運行、監(jian)視、評(ping)審(shen)、������保持和(he)改進文件化的(de)(de)ISMS。在(zai)本標準中,所(suo)使用的(de)(de)過程基于(yu)圖1所(suo)示的(de)(de)PDCA模型。?
4.2 建立和管理(li)ISMS?
4.2.1 建(jian)立ISMS?
組(zu)織要做以(yi)下方面的工作:?
a) 根據業務、組織(zhi)、位置、資產和(he)技術(shu)等方面的特����性(xing)(xing),確定ISMS的范圍(wei)和(he)邊界(jie),包括對范圍(wei)任(ren)何(he)刪(sh�����an)減的詳細(xi)說(shuo)明和(he)正當性(xing)(xing)理由(見1.2)。?
b) 根據業務(wu)、組織、位置、資產(chan)和技術(shu)等(deng)方(fang)面(mian)��������的特(�����te)性,確(que)定ISMS方(fang)針(zhen)。ISMS方(fang)針(zhen)應(ying):?
���1) 包括(kuo)設定目標的(de)框架和建立(li)信息安(an)全工作的(de)總方(fang)向和原則(ze);?
2) 考(kao)慮(lv)�������業務(wu)和法律(�����lv)法規的(de)要求,及合同(tong)中的(de)安(an)全義務(wu);?
3) 在組(zu)織的戰略性風(feng)險管理環境下,建立和保持ISMS;?
4) 建立風險評價的準(zhun)則[見4.2.1 c]];?
5) 獲得管理者批準。?
注:就本����(ben)標準的目的而(er)言,ISMS方針(zh��������en)被(bei)認為是信息安全方針(zhen)的一(yi)個擴展集(ji)。這些方針(zhen)可以(yi)在一(yi)個文件中進行(xing)描(miao)述。?
c) 確定(ding)組織(zhi)的風險評估方法?
1)識(shi)(shi)別適(shi)合ISMS、已識(shi)(shi)別的業(ye)務信息安�������(an)全(quan)和法(fa)律法(fa)規要求的風險評估方法(fa)。?
2)制定(ding)接受�����(shou)風�����險的準則,識別可接受(shou)的風險級別(見(jian)5.1f)。?
?
選擇(ze)的風險評(ping)估(gu)方法應確保(bao)風險評(ping)估(gu)產生可比������較的和(he����)可再現的結果。?
注:風險(xian)評估具有(you)不同(tong)的方(fang)法(fa)(fa)。在ISO/IEC TR 13335-3《信息技術 IT安(an)全管理(li)指(zhi)南:IT安(an)全管理(li)技術》中描述了風險(xian)評估方(fang)法(��������fa)(fa)的例子。?
d) 識別風險?
1) 識(shi)別ISMS范圍內的資(zi)產及其責任人2;?
2) 識別資(zi)產所(suo)面臨(lin)的威脅(xie);?
3) 識別(bie)可能被(bei)威脅利用的脆弱點(dian);?
4) 識(shi)�����別喪失保密(mi)性(xing)、完整性(xing)和(he)可用性(xing)可能對資產造成(cheng)的(de)影響。?
e) 分析和(he)評(ping)價(jia)風(feng)險?
1) 在考慮喪失資產的(de)保密性、完整(zheng)性和可用(yong)性所造(zao)成的(de)后果(guo)的(de)情況下,評估(gu)安全失誤(wu)可能造(zao)成������的(de)對(dui)組織的(de)影響。?
2) �������評估由主要(yao)威脅(x������ie)和脆弱點導致安全失誤的現實可能性、對(dui)資產的影(ying)響以及當前所實
施的控制措施。?
3) 估(gu)計風險(xian)的級別(bie)。?
4) 確(que)定風險(xian)是否可接受,或����(huo)者是否需要使用在(zai)4.2.1 c)2)中所(suo)建立的(de)接受風險(xian)的(de)準則進(jin)行(xing)處(chu)理(li)。?
f) 識別(bie)和評價風(feng)險處理的(de)可選措施?
可能的措施包括:?
1) 采用適當的控制措施;?
2) 在明顯滿足組織方針策略和接受(shou)風(feng)險的準則的條件下,有意識���������地、客觀地接受(shou)風(feng)������險[見4.2.1 c)2)];?
3) 避免風險;?
4) 將相關業(ye)務(wu)風(feng������)險(xian)轉移到其(qi)他方,如:保(bao)險(xian������),供應商等。?
g) 為處(chu)理風險選擇(ze)控制目標和控制措施?
控制(zhi)目標和(he)(he)控制(zhi)措施應(ying)加(jia)以(yi)選(xuan)擇和(he)(he)實施,以(yi)滿足風險(xian)評估和(he)(he)風險(xian)處理過程中(zhong)所識別的要求。這種選(xuan)擇應(ying)考慮接受風險(�������xian)的準則(見4.2.1c)2))以(yi)及法律法規和(he)(he)合同要求。?
從附(fu)錄A中選擇(ze)控制(zhi)目標(biao)和控制(zhi)措施應(ying)成為(wei)此(ci)過程(cheng)的(de)一部分,該過程(cheng)適合(he)于滿足(zu������)這(zhe)些已識別的(de)要求(qiu)。?
附(fu)錄A所(suo�����)列的控(kong)(kong)制(zhi)目標(biao)和(he)控(kong)(kong)制(zhi)措施(shi)(shi)并不(bu)是(shi)所(suo)有的控(kong)(kong)制(zhi)目標(biao)和(he)控(kong)(kong)制(zhi)措施(shi)(shi),組織也(ye)可能需要選擇另外(wai)的控(kong)(kong)制(zhi)目標(biao)和(he)控(kong)(kong)制(zhi)措施(shi)(shi)。?
注:附(fu)錄A包含(han)了組織內一般要用到的(de)(de)全面的(de)(de)控(kong)制(zhi)目標(biao)和控(kong)制(zhi)措施(shi)的(de)(de)列表。本標(biao)準(zhun)用戶(hu)可(ke)將附(fu)錄A作為選(xuan)擇控�������(kong)制(zhi)措施(shi)的(de)(de)出發點,以(yi)確保不(bu)會遺漏重要的�������(de)(de)可(ke)選(xuan)控(kong)制(zhi)措施(shi)。?
h) 獲得管理者對建議的(de)殘余風險的(de)批準?
i) 獲(huo)得管(guan)理者對實施和運行ISMS的授權?
j) 準(zhun)備適用(yong)性(xing)聲(sheng)明(SoA)?
應從(cong)以(yi)下幾方面準備適用(yong)性聲明(ming):?
1) 4.2.1 ������g)所(suo)選(xuan)擇(ze)(ze)的控(kong)制目標和控(kong)制措施,以及選(xuan)擇(ze)(ze)的理由(you);�����?
2) 當前實施(shi)(shi)的(de)控制目(mu)標和控制措施(shi)(sh�������i)(見(jian)4.2.1��������e)2));?
3) 對附錄A中任何控(kong)制(zhi)目(mu)標(biao)和(he)控(kong)制(zhi)措施的(de)刪減,以及刪減的(de)合理性(xing)說明��������。?
注(zhu):適用���性聲明提供(gong)了一(yi)份(fen)關于風險處理決定的(de)�������(de)綜(zong)述(shu)。刪減的(de)(de)合理性說明提供(gong)交叉檢查,以證明不會因疏(shu)忽而遺漏控(kong)制措(cuo)施。?
4.2.2 實(shi)施和運行(xing)ISMS?
組織應:?
a) 為管理信息安全風險(xian)(�����xian)識別適當的管理措(cuo)施、資源、職(zhi)責和(he)優先順序(xu),即(ji):制(zhi)定風險(xian)(xian)處(chu)理計劃(hua)(見第(di)5章)。?
b) 實施(shi)風(feng)險處理(li)計劃以達到已識別(bie)的控制目標,包(bao)括資金安排、角色和職責的分�������配。?
c) 實施4.2.1 g)中所選擇的控制措施,以滿足控制目標。?
d) 確定如(������ru)何測(ce)量所選擇的(de)控(kong)(kong)制(zhi)(zhi)措(cuo)(cuo)施或控(kong)(kong)制(zhi)(zhi)措(cuo)(cuo)施集(ji)的(de)有效性(xing),并指明(ming)如(ru)何用來�������評估控(kong)(kong)制(zhi)(zhi)措(cuo)(cuo)施的(de)有效性(xing),以產(chan)生可比較的(de)和可再現的(de)結果(見(jian)4.2.3c))。?
注:測量控(kong)制措(cuo)施的有效性可(ke)使管(guan)理者和(he)員工確定(ding)控(kong)�������������制措(cuo)施達到既定(ding)的控(kong)制目(mu)標的程度(du)。?
e) 實施(shi)培訓(xun)和意識教(jiao)育計劃(見5.2.2)。?
f) 管理ISMS的運行。?
g) 管理ISMS的資源(見5.2)。?
h) 實(shi������)施(shi)(shi)������能夠(gou)迅速檢(jian)測安(an)全事(shi)態和(he)響應安(an)全事(shi)件的程序和(he)其(qi)他控制措施(shi)(shi)(見4.2.3)a))。?
4.2.3 監視和評審ISMS?
組織應:?
a) 執行監視與評審程序(xu)和其它控制措施,以(yi):?
1) 迅速(su)檢測過(guo)程運行結果中的錯誤;?
2) 迅速(su)識別試(shi)圖的和(he)得逞的安(an)全違規和(he)事件;?
3) 使(shi)管理者能夠確定分配給(gei)人員的安全活動(dong����)或通過(guo)信息技術實施的安全活動(dong)是否被如期執行;?
4) 通過使用(yong)指(zhi)示器,幫助檢測安全事(shi)態并預防(fang)������安全事(shi)件;�������?
5) 確定解決(jue)安全違規的措施是否有效。?
b) 在考慮安全審核結果、事件(jian)、有效性測量結果、所有相關(guan)方的(de)(de)建議和反饋的(de)(de)基礎上,進(jin�����)行ISMS有效性的(de)(de)定期評審(包括滿足(zu)ISMS方針和目標,以及安������全控制措施的(de)(de)評審)。?
c) 測量控制(zhi)措施(shi)的有效性以驗證(zheng)安全(quan�������)要求是否�����被滿(man)足(zu)。?
d) 按照計劃的時間(jian)間(ji�������an)隔進(jin)行風(feng)(feng)險評(ping)估的評(ping)審,以(yi)及對殘余(yu)風(feng)(feng)險和已(yi)確定的可接受的風(feng)(feng)險級別進(jin)行評(ping)審,應考慮以(yi)下(xia)方(fang)面的變(bian)化:?
1) 組織;?
2) 技術;?
3) 業(ye)務目標和過程;?
4) 已識別(bie)的威脅;?
5) 已實施的控(kong)制措施的有效(xiao)性(xing);?
6) 外部事態,如(ru)法律法規環境(jing)的(de)變更、合同義(yi)務的(de)變更和社(she)會環境(���jing)的(de)變更。?
e) 按計劃的時間(jian)(jian)間(jian)(ji������an)隔,實施ISMS內部審(shen)核(he)(見第6章)。?
注:內(nei)部審(shen)(shen)(shen)核(he)(he)(he),有時稱為第一方審(shen)(shen)(shen)核(he)(he)(he),是(shi)用于內(nei)部目(mu)的,由組織自己或以組織的名義所進行(xing)的審(shen)(shen)(shen)核(h�����e)(he)(he)。?
f)����� 定期進行ISMS管理評審,以確保ISMS范圍保持充分,ISMS過程的改進得到(dao)識別(bie)(見�����7.1)。?
g) 考慮監視和評審(shen)活動(dong)的結果,以更新安全計劃。?
h) 記錄可能影響ISMS的(de)有效(xia����o)性或執行情況的(de)措(cuo)施和事態(tai)(見4.3.3)。?
4.2.4 保持和改進(jin)ISMS?
組織應經常:?
a) 實(shi)施已識(shi)別的ISMS改進措施。?
b) 依照8.2和(he)8.3采取合適(shi)的糾(jiu)正和(he)預防措施�������。從其它(ta)組織(zhi)和(he)組織(zhi)自(zi)身的安全經驗(yan)中吸取教訓(xun)。?
c) 向所(suo)有相(xiang)關(guan)方(fang)溝通措施(shi)和改進(jin)情況(kuang),其詳(xiang)細程度應(ying)與環境相(xiang)適(shi)應(y������ing),需(xu)要時(shi),商(shang)定如何進(jin)行。?
d) 確保(bao)改進達到(dao)了預期目(mu)標。?
4.3 文件要求?
4.3.1 總則?
文件應(ying)包括管理(li)決(������jue)(jue)定的記(ji)錄,以(yi)確(que)保所采取的措施符合管理(li)決(jue)(jue)定和方(fang)針策略,還應(ying)確(que)保所記(ji)錄的結果(guo)是可重復產生(sheng)的。?
重(zhong)要的(de)是,能夠顯示出所選擇(ze)的(de)控(kong)制措施回溯(su)到風(feng)險評(ping)估和風(feng������)險處(chu)理(li)過程的(de)結果、并進而回溯(su)到ISMS方針和目(mu)標之間(jian)的(de)關系。?
ISMS文件(jian)應(ying)包括:?
a) 形成文件的ISMS方針[見4.2.1b)]和目標;?
b) ISMS的范(fan)圍[見(jian)4.2.la)];?
c) 支(zhi)持(chi)ISMS的程序和控制措施(shi);?
d) 風險評估(gu)方(fang)法的描述[見(jian)4.2.1c)];?
e) 風險(xian)評(ping)估報告 [見(jian)4.2.1c)到4.2.1g)];?
f) 風險(xian)處理(li)計劃[見4.2.2b)];?
g) 組織為確保(bao)其信息安全過程的(de)有效規劃、運行(xing)和控(kong)制(zhi)以及描述如何測量控������(kong)制(zhi)措施(shi)的(de)有效性所需的(de)形成文件的(de�����)程序(見4.2.3c));?
5?
h) 本標準所要求的記(ji)錄(見4.3.3);?
i) 適用性聲明。?
注1:本標準(zhun)出現“形(xing)成文件的(de)程(cheng)序”之處,即要求建立該程(cheng)序,形(xing�����)成文件,并加(jia)以實施和保持(chi)。?
注2:不同組織的(de)ISMS文件的(de)詳略程(cheng)度取(qu)決于:?
? 組織的規模和(he)活動的類型(xing);?
? 安全要求和被管理(li)系統(tong)的范圍及復雜程度;?
注3:文件和(he)記錄可(ke)以采用任(ren)何形(xing)式或類型的介質。?
4.3.2 文件控制(zhi)?
ISMS所(suo)要求的(de)文件應(ying)(ying)�������予以保(bao)護和控制(zhi)。應(ying)(ying)編(bian)制(zhi)形成文件的(de)程序(xu),以規(gui)定以下(xia)方面(mian)所(suo)需的(de)管理措施(shi):?
a) 文(wen)(wen)件(jian)發布前得到批(pi)����準,以確保文(wen)(wen)件(�������jian)是適當(dang)的;?
b) 必要時對文件進行評審(shen)、更新(xin)并(bing)再次批(pi)準;?
c) 確(que)保文件的更改和現行修訂狀態得(de)到標識;?
d) 確保在使(shi)用處可獲(huo)得適用文件(jian)的(de)相關版本;?
e) 確保文件保持清晰(xi)、易于識別;?
f) 確(que)保文件對(dui)�������需要的(de)人員可用,并依(yi)照文件適用的(de)類別程(cheng)序進行(xing)傳輸、貯存(cun)和最終銷毀;?
g) 確保外來文件得到標識(shi);?
h) 確(que)保文件的分發得到控制;?
i) 防止作廢(fei)文件(jian)的非(fei)預期使用;?
j) 若因任何目的(de)�������(de)而保(bao)留作廢文(wen)件(jian)時(shi),對這(zhe)些文(wen)件(jian)進行適當的(de)(de)標(biao)識。?
4.3.3 記(ji)錄控制?
記錄(lu)(lu)應(ying)建(jian)立并(bing)(bing)加以(yi)保(bao)持(chi),以(yi)提供符合(he)ISMS要求(qiu)和(he)(he)有效運行的(de)證據。記錄(lu)(lu)應(ying)加以(yi)保(bao)護和(he)(he)控(kong)制。ISMS的(de)記錄(lu)(lu)應(ying)考慮相(xiang)關法律法規(gui)要求(qiu)和(he)(he)合(he)同義務。記錄(lu)(lu)應(ying)保(bao)持(chi)清晰、易于識(shi)別和(he)(he)檢(jian)索(suo)。記錄(lu)(lu)的(de)標識(shi)、貯存、保(bao)護、檢(jian)索(suo)、保(bao)存期(qi)限和(he)(he)處置(zhi)所需的(de)控(kong)�������制措(cuo)施應(ying)形(xing)成文件并(bing)(bing)實施。?
應保留4.2中列出的(de)過程執行記錄和(he)所有(you)發生(sheng)的(de)與(yu)ISMS有(y������ou)關(guan)的(de)重大安(an)全(quan)事件������(jian)的(de)記錄。?
例如(ru):記錄包括訪客登(������deng)記薄、審核報告(gao)和已完成(cheng)的訪問授(sh������ou)權單。?
5 管理職責?
5.1 管理承諾?
管理者應通過以下活動,對建立、實施(sh�������i)、運行(xing)、監(jian)視、評審(shen)、保持(chi)和改進ISMS的承(cheng)諾(nuo)提供證據:?
a) 制定ISMS方針(zhen);?
b) 確保(bao)ISMS目標和計劃得以(yi)制定;?
c) 建(jian)立信息安全的角色和職責;?
d) 向�����組織傳達滿足(zu)信(xin)息安全目(mu)標、符合信(xin)息安全方(fang)針、履行(xing)法律責任和持續改進的重要性;?
e) 提供足夠資源,以建立、實施、運行、監視�����、評審、保(bao)持和改進(jin)ISMS (見(jian)5.2.1);?
f) 決(jue)定(ding)接受(sh���ou)風(feng)險的準則(ze)和(he)風(feng)險的可接受(shou)級(ji)別;?
g) 確保ISMS內部審核的執(zhi)行(見第6章);?
h) 實施ISMS的管(guan)理評審(shen)(見(jian)第7章)。?
5.2 資源管理?
5.2.1 資源提供?
組(zu)織應確定并提供所(suo)需的資(zi)源,以(yi):?
a) 建(jian)立(li)、實施(shi)、運(yun)行、監(jian)視、評審、保持和(he)改�����(gai)進ISMS;?
b) 確保信息(xi)安全程序(xu)支(zhi)持(chi)業務要求;?
c) 識別和滿足(zu)法律(lv)法規要求、以及合同中的(de)安全義務;?
d) 通過正(zheng)確實施������所(suo)有的控制措施保持(������chi)適當(dang)的安(an)全;?
e) 必要時(shi),進行評(ping)審,并適(shi)當(dang)響����應評(ping)審�����的(de)結(jie)果;?
f) 在需要(yao)時(shi),改進ISMS的有(you)效性。?
5.2.2 培訓(xun)、意(yi)識和能(neng)力?
組織應通過以下方式,確保所(suo)有分配有ISMS職責的��������(de)人員具有執行所(suo)要求任務的(d�����e)能力:?
a) 確(que)定從事影(ying)響ISMS工(gong)作的人員所必要的能力;?
b) 提供培訓或采(cai)取其他措施(如(ru)聘用有������能力的人員)以(yi)滿足這些(xie)需求;?
c) 評價所(suo)采(cai)取的措施的有效性;?
d) 保持教育、培(pei)訓、技能(neng)、經歷(li)�����和資(zi)格(ge)的記錄(lu)(見4.3.3)。?
組(zu)織也要確保(bao)所有相(xiang)關人員意識(shi)到其(qi)信息安(an)全(quan)活動的適當性(xin������g)和重要性(xing),以及如何為達到ISMS目標做出貢(gong)獻。?
6 內(nei)部ISMS審核?
組(zu)織應(ying)按照��������計劃的時間(jian)間(jian)隔進行內部ISMS審(shen)核,以確(que)定其ISMS的控制(zhi)目標、控制(zhi)措施、過程和程序是否(fou):?
a) 符合本標準和相關法(fa)(fa)律法(fa)(fa)規的要求;?
b) 符合已確定的信息安全要求;?
c) 得(de)到有效地實施和(he)保持;?
d) 按預期執行。?
應(ying)在(zai)考慮擬審(shen)(shen)(shen)核的(de)過程(cheng)與區域的(de)狀況和重(zhong)要性(xing)以及(ji)以往審(shen)(shen)(shen)核的(de)結果的(de)情況下,制(zhi)定(ding)審(shen)(shen)(shen)核方案(an)。應(ying)確定(ding)審(shen)(shen)(shen)核的(de)準(zhun)則、范圍、頻次和�����方法。審(shen)(shen)(shen)核員的(de)選擇和審(shen)(shen)(shen)核的(de)實(shi)施(shi)應(ying)確保審(shen)(shen)(shen)核過程(cheng)的(d����e)客觀性(xing)和公正性(xing)。審(shen)(shen)(shen)核員不應(ying)審(shen)(shen)(shen)核自己的(de)工作(zuo)。?
策劃和��������實施審核(he)、報告(gao)結果������(guo)和保持記錄(見4.3.3)的職責和要(yao)求應在形成(cheng)文件的程序中做出規定。?
負(fu)責(ze)受審區域的(de)管理者應(ying)確保及時采(cai)取措施(shi),以消(xiao)除已發現的(de)不符合及其產生的(de)原(yuan)因(yin)。跟(gen����)蹤(���zong)活動應(ying)包括對所采(cai)取措施(shi)的(de)驗證和(he)驗證結果的(de)報告(見第8章)。?
注:GB/T 19011-2003(《質量(liang)和(或)環境(jing)管(guan)理體系審核指南》)�����,,也可為(wei)實(s�������hi)施內部ISMS審核提供有用的指導(dao)。?
7 ISMS的管理評審
?7.1 總則?
管理者應(ying)按(an)計劃的(de)(de)(de)時間(jian)間(jian)隔(至少每(mei)年1次)評審組織(zhi)的(de)(de)(de)ISMS,以確保其持(chi)續(xu)的(de)(de)(de)適宜性、充分性和有(you)效(xiao)性。評審應(ying)包括評估ISMS改(gai)進的(de)(de)(de)機會和變更的(de)(de)(de)需要,包括信息(xi)安(an)全方針和信息(xi)安(an)全目標。評審的(de)(de)(de)結(jie)果應(ying)清晰地形成文件,記(ji)錄�������應(ying)加以保持(chi)(見4.3.3)。?
7.2 評審輸入?
管(guan)理評(ping)審的輸入應包括:?
a) ISMS審(shen)核和評(ping)審(shen)的結果;?
b) 相關方的(de)反饋;?
c) 組織(zhi)用于改(gai)進ISMS執行(xing)情況和(he)有效性的技術�����、產(chan)品或程序;?
d) 預防和糾正措(cuo)施的狀況(kuang);?
e) 以往風險評估沒有(you)充(chong)分(fen)強(qiang)調(di��������ao)的(de)脆弱點(di�������an)或威脅;?
f) 有效性測量(liang)的結果;?
g) 以往管理評審的跟(gen)蹤措施;?
h) 可能(neng)影響ISMS的任何(he)變更;?
i) 改進的建議。?
7.3 評審輸出?
管理評審的(de)輸出應包(ba������o)括與以下方面有(you)關的(de)任(ren)何決定和措施:?
a) ISMS有效性的改進;?
b) 風(feng)險(xian�������)評估和風(feng)險(xian)處(chu)理計劃的更新(xin);?
c) 必要時修(xiu)改影響信息安全的(de)(de)程序和控制措施,以(yi)響應內部或(huo)外部可能影響ISMS的(de)(de)事(shi)態,包括�����以(yi)下的(de)(de)變更:?
1) 業務要求;?
2) 安全要求;?
3) 影響現有業(ye)務要求的業(ye)務過程;?
4) 法(fa)律法(fa)規環境;?
5) 合同義務;?
6) 風險級(ji)別和(he)/或接受風險的準則。?
d) 資源需求;?
e) 如何(he)測量控制措(cuo)施有效性的(de)改進。?
8 ISMS改進?
8.1 持續改進?
組織應(ying)通過(guo)使用信(xin)息安全(quan)方針、安全(quan)目標、審(shen)核(he)結果、監視事態(tai)的(de)分析、糾正和預防措施以(yi)及(ji)管理評審(shen)(見第7章),持(chi)續改進IS������MS的(de)有效(xiao)性。?
8.2 糾正措施?
組(zu)織應采取措施,以(yi)消除與ISMS要求(qiu)不(bu)符合(he)的(de)原(yuan)因,以(yi)防止再發生(sheng)。形成文件的(de)��������糾(jiu)正(zheng)措施程序,應規定以(yi)下方面的(d�������e)要求(qiu):?
a) 識別(bie)不(bu)符合;?
b) 確定不符合的原因(yin);?
c) 評(ping)價確保不(bu)符(fu)合(he)不(bu)再發生(sheng)的措施需求;������?
d) 確定和實施所需要的糾正措施;?
e) 記錄所采取(qu)措(cuo)施的結果(見4.3.3);?
f) 評(ping)審所采取(qu)的糾(jiu)正措施(shi)。?
8.3 預防措施?
組(zu)織應確定措(cuo)施(shi),以(yi)(yi)消除潛在不(bu)符合的(de)(de)原因,防止其(qi)發生。預防措(cuo)施(shi)應與潛在問題的(de)(de)影(ying)響程(cheng)度相適應。形成(cheng)文件(jian)的(de)(de)預防措(cuo)施(shi)程(c�������heng)序(xu),應規定以(yi)(yi)下方面(mian)的(de)(de)要求:?
a) 識(shi)別(bie)潛在的不符合及(ji)其原因(yin);?
b) 評價防止(zhi)不符(fu)合發生(sheng)的(de)措施需(xu)求(qiu);?
c) 確定和實施所需(xu)要的預防措施;?
d) 記錄所采取措施(shi)的結果(見4.3.3);?
e) 評審所采取的預防(fang)措施。?
組織應識別變(bian)化的風(feng)險,并(bing)識別針對重大變(bian)化的風(feng)險的預(yu)防(fang)措施(shi)的�������要(y�����ao)求。?
預(yu)防措施的優先級要(yao)根(gen)據風險(xian)評估的結果確定。?
注:預防不符合的措施通常比糾正措施更節約成本(ben)。?
?收費標(biao)準
|
?
|
認證項目
|
認證費(fei)
|
咨(zi)詢費
|
合計費用
|
備?注
|
|
ISO14001:2004
(普通(tong)咨詢)
中級(ji)風險(1-30人)?
認(ren)證標(biao)準:?
GB/T24001-2004
|
1.4萬元
|
免收咨詢費
|
1.4萬元
|
1.合(he)法取證?
2.達到培訓目的?
3.后續服務:保證每年(nian)順利(li)通過(guo)監(jian)審?
4.不增(zeng)收(shou)有關(guan)公關(guan)的饋贈?
5.獲證后無風險
|
|
ISO14001:2004
(精細咨詢(xun))
中級風險(1-30人)?
認證(zheng)標準:?
GB/T24001-2004
|
1.4萬元
|
1.4萬元
|
2.8萬元
|
1.達(da)到(dao)以上各(ge)項承諾?
2.認真(zhen)調(diao)查(cha)診斷,提出整改方案?
3.對全體(ti)(ti)員工進行全面培(pei)訓(由上(shang)到下)?
識別、控制和(he)監測組織的(de)環境(jing)因(yin)素的(de)要求,以(yi)及如何��������控制����和(he)改(gai)進整(zheng)個系統。?
4.培養(yang)能夠(gou)獨立運(yun)行體系的(de)管理人員。?
5.體系文件(jian)適合企業(ye)實際,消除(chu)“兩(liang)層皮”現象。
6.優化流程(cheng),減少(shao)浪(lang)費(fei)及損(sun)失。?
7.責任落實(shi)到位,管理科學(xue)化。?
8.達(da)到環保要求(qiu)及環境(jing)標準。?
9. 提(ti)(ti)高企業的(de)環境管(gu�������������an)理水平,提(ti)(ti)高員工(gong)環境意(yi)識。?
10解決節約能源,降低(di)消耗(hao)。 ?
|
?
|
?
|
?
|
?
后續服務
?
?
在企業人員沒有大的變動、企業營業范圍及產品沒有增加及大的變動,三年之內的兩次監督審核是免費咨詢服務的;如企業有變動產品有增加根據情況適當的收取咨詢費。三年之后復評按初次審核的2/3進行收費。
