台湾腐剧,国产国产乱老熟女视频网站97,人妻少妇征服沉沦,久久一区二区三区精华液,蜜桃少妇AV久久久久久久

您好,歡迎來(lái)到天財(cái)集團(tuán)!
快速導(dǎo)航
服務(wù)項(xiàng)目
專利保護(hù)
ISO14000您當(dāng)前的位置:首頁(yè) > 質(zhì)量體系認(rèn)證

?與ISO9000標(biāo)準(zhǔn)有很強(qiáng)的兼容性?

ISO14000標(biāo)準(zhǔn)的基本要求?
要求建立文件化的環(huán)境管理體系 ?
制定環(huán)境方針,作出環(huán)境保護(hù)的承諾
識(shí)別企業(yè)的環(huán)境因素,制定目標(biāo)指標(biāo)以改善環(huán)境狀況 ?
要求污染預(yù)防,持續(xù)改進(jìn),遵守法律法規(guī) ?
針對(duì)企業(yè)的重要環(huán)境崗位,建立作業(yè)程序加以控制 ?
注意各方面的信息溝通 ?
要求對(duì)緊急突發(fā)事件,建立應(yīng)急和響應(yīng)計(jì)劃?
實(shí)施ISO14000的好處?
  隨著經(jīng)濟(jì)全球化趨勢(shì)日益明顯,越來(lái)越多的企業(yè)將實(shí)施全球化經(jīng)濟(jì)戰(zhàn)略。企業(yè)的環(huán)境表現(xiàn)已成為政府、企業(yè)及其他組織采購(gòu)產(chǎn)品選擇服務(wù)時(shí)優(yōu)先考慮的因素之一,ISO14000標(biāo)準(zhǔn)對(duì)于提高各類組織的環(huán)境管理水平、節(jié)約資源、提高效益、降低風(fēng)險(xiǎn)具有全面的推進(jìn)作用,目前一些著名的跨國(guó)企業(yè)已開始制訂實(shí)施ISO14000的內(nèi)部計(jì)劃,并將ISO14000作為對(duì)其供應(yīng)商環(huán)境管理的考核標(biāo)準(zhǔn)。在全球日益重視環(huán)境保護(hù)的今天,建立ISO14000標(biāo)準(zhǔn)體系,是各類組織提高市場(chǎng)競(jìng)爭(zhēng)力,進(jìn)入世界市場(chǎng)特別是歐美市場(chǎng)的綠色通行證,是中國(guó)企業(yè)突破綠色壁壘,增強(qiáng)市場(chǎng)競(jìng)爭(zhēng)力的有效手段。具體說(shuō)來(lái)實(shí)施ISO14000認(rèn)證將帶給企業(yè)如下益處:?
改進(jìn)環(huán)保表現(xiàn),減輕環(huán)保壓力,提高企業(yè)形象 ?
增強(qiáng)環(huán)保意識(shí),保護(hù)環(huán)境,保障員工職業(yè)健康 ?
減少企業(yè)污染、節(jié)能降耗、綠化公司形象 ?
突破"綠色壁壘",產(chǎn)品進(jìn)入國(guó)際市場(chǎng) ?
提高企業(yè)管理水平,增強(qiáng)企業(yè)競(jìng)爭(zhēng)力
減少環(huán)保成本,降低環(huán)境風(fēng)險(xiǎn)。?
申請(qǐng)ISO14000國(guó)際環(huán)境管理體系認(rèn)證須提交的文件清單:?
環(huán)境因素及重要環(huán)境因素清單 ?
法律法規(guī)清單 ?
目標(biāo)、指標(biāo)、環(huán)境管理方案 ?
四個(gè)證明(如適用):市(地)級(jí)以上環(huán)境保護(hù)行政主管部門出具的證明文件包括 ?
通過(guò)環(huán)境影響報(bào)告書(表)的批文復(fù)印件 ?
通過(guò)"三同時(shí)"驗(yàn)收證明文件的復(fù)印件 ?
污染物濃度及總量控制指標(biāo)達(dá)標(biāo)排放證明人?
體系運(yùn)行其間未受到環(huán)境行政處罰的證明 ?
區(qū)平面圖 ?
社區(qū)平面圖 ?
動(dòng)力及下水管網(wǎng)圖(如適用) ?
環(huán)境監(jiān)測(cè)報(bào)告(體系運(yùn)行后) ?
主要有毒有害化學(xué)品清單 ?
相關(guān)法律法規(guī)及排放標(biāo)準(zhǔn) ?
之前的審核記錄及報(bào)告等等
?
認(rèn)證流程

認(rèn)證標(biāo)準(zhǔn)

1 范圍?

1.1 總則?

本標(biāo)準(zhǔn)適用于所有類型的組織(例如,商業(yè)企業(yè)、政府機(jī)構(gòu)、非贏利組織)。本標(biāo)準(zhǔn)從組織的整體業(yè)務(wù)風(fēng)險(xiǎn)的角度,為建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS規(guī)定了要求。它規(guī)定了為適應(yīng)不同組織或其部門的需要而定制的安全控制措施的實(shí)施要求。?

ISMS的設(shè)計(jì)應(yīng)確保選擇適當(dāng)和相宜的安全控制措施,以充分保護(hù)信息資產(chǎn)并給予相關(guān)方信心。?

注1:本標(biāo)準(zhǔn)中的“業(yè)務(wù)”一詞應(yīng)廣義的解釋為關(guān)系一個(gè)組織生存的核心活動(dòng)。?

注2:ISO/IEC 17799提供了設(shè)計(jì)控制措施時(shí)可使用的實(shí)施指南。?

1.2 應(yīng)用?

本標(biāo)準(zhǔn)規(guī)定的要求是通用的,適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標(biāo)準(zhǔn)時(shí),對(duì)于4、5、6、7和8章的要求不能刪減。?

為了滿足風(fēng)險(xiǎn)接受準(zhǔn)則所必須進(jìn)行的任何控制措施的刪減,必須證明是合理的,且需要提供證據(jù)證明相關(guān)風(fēng)險(xiǎn)已被負(fù)責(zé)人員接受。除非刪減不影響組織滿足由風(fēng)險(xiǎn)評(píng)估和適用法律法規(guī)要求所確定的安全要求的能力和/或責(zé)任,否則不能聲稱符合本標(biāo)準(zhǔn)。?

注:如果一個(gè)組織已經(jīng)有一個(gè)運(yùn)轉(zhuǎn)著的業(yè)務(wù)過(guò)程管理體系(例如,與ISO 9001或者ISO 14001相關(guān)的),那么在大多數(shù)情況下,更可取的是在這個(gè)現(xiàn)有的管理體系內(nèi)滿足本標(biāo)準(zhǔn)的要求。?

2 規(guī)范性引用文件?

下列參考文件對(duì)于本文件的應(yīng)用是必不可少的。凡是注日期的引用文件,只有引用的版本適用于本標(biāo)準(zhǔn);凡是不注日期的引用文件,其最新版本(包括任何修改)適用于本標(biāo)準(zhǔn)。?

ISO/IC17799:2005,信息技術(shù)—安全技術(shù)—信息安全管理實(shí)用規(guī)則。?

3 術(shù)語(yǔ)和定義?

本標(biāo)準(zhǔn)采用以下術(shù)語(yǔ)和定義。?

3.1?

資產(chǎn) asset?

任何對(duì)組織有價(jià)值的東西[ISO/IEC 13335-1:2004]。?

3.2?

可用性 availability?

根據(jù)授權(quán)實(shí)體的要求可訪問(wèn)和利用的特性[ISO/IEC 13335-1:2004]。?

3。3?

保密性confidentiality?

信息不能被未授權(quán)的個(gè)人,實(shí)體或者過(guò)程利用或知悉的特性[ISO/IEC 13335-1:2004]。?

3.4信息安全information security?

保證信息的保密性,完整性,可用性;另外也可包括諸如真實(shí)性,可核查性,不可否認(rèn)性和可靠性等特性[ISO/IEC 17799:2005]。?

3.5?

信息安全事態(tài) information security event?

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識(shí)別的狀態(tài)的發(fā)生,它可能是對(duì)信息安全策略的違反或防護(hù)措施的失效,或是和安全關(guān)聯(lián)的一個(gè)先前未知的狀態(tài)[ISO/IEC TR 18044:2004]。?

3.6?

信息安全事件 information security incident?

一個(gè)信息安全事件由單個(gè)的或一系列的有害或意外信息安全事態(tài)組成,它們具有損害業(yè)務(wù)運(yùn)作和威脅信息安全的極大的可能性[ISO/IEC TR 18044:2004]。?

3.7?

信息安全管理體系(ISMS) information security management system(ISMS)?

是整個(gè)管理體系的一部分。它是基于業(yè)務(wù)風(fēng)險(xiǎn)方法,來(lái)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)信息安全的。?

?

注:管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動(dòng)、職責(zé)、實(shí)踐、程序、過(guò)程和資源。?

?

3.8?完整性integrity?

保護(hù)資產(chǎn)的準(zhǔn)確和完整的特性[ISO/IEC 13335-1:2004]。?

3.9?

殘余風(fēng)險(xiǎn) residual risk?

經(jīng)過(guò)風(fēng)險(xiǎn)處理后遺留的風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。?

3.10?

風(fēng)險(xiǎn)接受risk acceptance?

接受風(fēng)險(xiǎn)的決定[ISO/IEC Guide 73:2002]。?

3.11?

風(fēng)險(xiǎn)分析risk analysis?

系統(tǒng)地使用信息來(lái)識(shí)別風(fēng)險(xiǎn)來(lái)源和估計(jì)風(fēng)險(xiǎn)[ISO/IEC Guide 73:2002]。?

3.12?

風(fēng)險(xiǎn)評(píng)估risk assessment?

風(fēng)險(xiǎn)分析和風(fēng)險(xiǎn)評(píng)價(jià)的整個(gè)過(guò)程[ISO/IEC Guide 73:2002]。?

3.13?

風(fēng)險(xiǎn)評(píng)價(jià)risk evaluation?

將估計(jì)的風(fēng)險(xiǎn)與給定的風(fēng)險(xiǎn)準(zhǔn)則加以比較以確定風(fēng)險(xiǎn)嚴(yán)重性的過(guò)程[ISO/IEC Guide 73:2002]。?

3.14?

風(fēng)險(xiǎn)管理risk management?

指導(dǎo)和控制一個(gè)組織相關(guān)風(fēng)險(xiǎn)的協(xié)調(diào)活動(dòng)[ISO/IEC Guide 73:2002]。?

3.15?

風(fēng)險(xiǎn)處理risk treatment?

選擇并且執(zhí)行措施來(lái)更改風(fēng)險(xiǎn)的過(guò)程[ISO/IEC Guide 73:2002]。?

3.16?

2 術(shù)語(yǔ)“責(zé)任人”標(biāo)識(shí)了已經(jīng)獲得管理者的批準(zhǔn),負(fù)責(zé)產(chǎn)生、開發(fā)、維護(hù)、使用和保證資產(chǎn)的安全的個(gè)人或?qū)嶓w。術(shù)語(yǔ)“責(zé)任人”不是指該人員實(shí)際上對(duì)資產(chǎn)擁有所有權(quán)。?

適用性聲明statement of applicability?

描述與組織的信息安全管理體系相關(guān)的和適用的控制目標(biāo)和控制措施的文檔。?

注:控制目標(biāo)和控制措施基于風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對(duì)于信息安全的業(yè)務(wù)要求。?

4 信息安全管理體系(ISMS)?

4.1 總要求?

組織應(yīng)在其整體業(yè)務(wù)活動(dòng)和所面臨風(fēng)險(xiǎn)的環(huán)境下建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)文件化的ISMS。在本標(biāo)準(zhǔn)中,所使用的過(guò)程基于圖1所示的PDCA模型。?

4.2 建立和管理ISMS?

4.2.1 建立ISMS?

組織要做以下方面的工作:?

a) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性,確定ISMS的范圍和邊界,包括對(duì)范圍任何刪減的詳細(xì)說(shuō)明和正當(dāng)性理由(見1.2)。?

b) 根據(jù)業(yè)務(wù)、組織、位置、資產(chǎn)和技術(shù)等方面的特性,確定ISMS方針。ISMS方針應(yīng):?

1) 包括設(shè)定目標(biāo)的框架和建立信息安全工作的總方向和原則;?

2) 考慮業(yè)務(wù)和法律法規(guī)的要求,及合同中的安全義務(wù);?

3) 在組織的戰(zhàn)略性風(fēng)險(xiǎn)管理環(huán)境下,建立和保持ISMS;?

4) 建立風(fēng)險(xiǎn)評(píng)價(jià)的準(zhǔn)則[見4.2.1 c]];?

5) 獲得管理者批準(zhǔn)。?

注:就本標(biāo)準(zhǔn)的目的而言,ISMS方針被認(rèn)為是信息安全方針的一個(gè)擴(kuò)展集。這些方針可以在一個(gè)文件中進(jìn)行描述。?

c) 確定組織的風(fēng)險(xiǎn)評(píng)估方法?

1)識(shí)別適合ISMS、已識(shí)別的業(yè)務(wù)信息安全和法律法規(guī)要求的風(fēng)險(xiǎn)評(píng)估方法。?

2)制定接受風(fēng)險(xiǎn)的準(zhǔn)則,識(shí)別可接受的風(fēng)險(xiǎn)級(jí)別(見5.1f)。?

?

選擇的風(fēng)險(xiǎn)評(píng)估方法應(yīng)確保風(fēng)險(xiǎn)評(píng)估產(chǎn)生可比較的和可再現(xiàn)的結(jié)果。?

注:風(fēng)險(xiǎn)評(píng)估具有不同的方法。在ISO/IEC TR 13335-3《信息技術(shù) IT安全管理指南:IT安全管理技術(shù)》中描述了風(fēng)險(xiǎn)評(píng)估方法的例子。?

d) 識(shí)別風(fēng)險(xiǎn)?

1) 識(shí)別ISMS范圍內(nèi)的資產(chǎn)及其責(zé)任人2;?

2) 識(shí)別資產(chǎn)所面臨的威脅;?

3) 識(shí)別可能被威脅利用的脆弱點(diǎn);?

4) 識(shí)別喪失保密性、完整性和可用性可能對(duì)資產(chǎn)造成的影響。?

e) 分析和評(píng)價(jià)風(fēng)險(xiǎn)?

1) 在考慮喪失資產(chǎn)的保密性、完整性和可用性所造成的后果的情況下,評(píng)估安全失誤可能造成的對(duì)組織的影響。?

2) 評(píng)估由主要威脅和脆弱點(diǎn)導(dǎo)致安全失誤的現(xiàn)實(shí)可能性、對(duì)資產(chǎn)的影響以及當(dāng)前所實(shí)

施的控制措施。?

3) 估計(jì)風(fēng)險(xiǎn)的級(jí)別。?

4) 確定風(fēng)險(xiǎn)是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受風(fēng)險(xiǎn)的準(zhǔn)則進(jìn)行處理。?

f) 識(shí)別和評(píng)價(jià)風(fēng)險(xiǎn)處理的可選措施?

可能的措施包括:?

1) 采用適當(dāng)?shù)目刂拼胧?

2) 在明顯滿足組織方針策略和接受風(fēng)險(xiǎn)的準(zhǔn)則的條件下,有意識(shí)地、客觀地接受風(fēng)險(xiǎn)[見4.2.1 c)2)];?

3) 避免風(fēng)險(xiǎn);?

4) 將相關(guān)業(yè)務(wù)風(fēng)險(xiǎn)轉(zhuǎn)移到其他方,如:保險(xiǎn),供應(yīng)商等。?

g) 為處理風(fēng)險(xiǎn)選擇控制目標(biāo)和控制措施?

控制目標(biāo)和控制措施應(yīng)加以選擇和實(shí)施,以滿足風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程中所識(shí)別的要求。這種選擇應(yīng)考慮接受風(fēng)險(xiǎn)的準(zhǔn)則(見4.2.1c)2))以及法律法規(guī)和合同要求。?

從附錄A中選擇控制目標(biāo)和控制措施應(yīng)成為此過(guò)程的一部分,該過(guò)程適合于滿足這些已識(shí)別的要求。?

附錄A所列的控制目標(biāo)和控制措施并不是所有的控制目標(biāo)和控制措施,組織也可能需要選擇另外的控制目標(biāo)和控制措施。?

注:附錄A包含了組織內(nèi)一般要用到的全面的控制目標(biāo)和控制措施的列表。本標(biāo)準(zhǔn)用戶可將附錄A作為選擇控制措施的出發(fā)點(diǎn),以確保不會(huì)遺漏重要的可選控制措施。?

h) 獲得管理者對(duì)建議的殘余風(fēng)險(xiǎn)的批準(zhǔn)?

i) 獲得管理者對(duì)實(shí)施和運(yùn)行ISMS的授權(quán)?

j) 準(zhǔn)備適用性聲明(SoA)?

應(yīng)從以下幾方面準(zhǔn)備適用性聲明:?

1) 4.2.1 g)所選擇的控制目標(biāo)和控制措施,以及選擇的理由;?

2) 當(dāng)前實(shí)施的控制目標(biāo)和控制措施(見4.2.1e)2));?

3) 對(duì)附錄A中任何控制目標(biāo)和控制措施的刪減,以及刪減的合理性說(shuō)明。?

注:適用性聲明提供了一份關(guān)于風(fēng)險(xiǎn)處理決定的綜述。刪減的合理性說(shuō)明提供交叉檢查,以證明不會(huì)因疏忽而遺漏控制措施。?

4.2.2 實(shí)施和運(yùn)行ISMS?

組織應(yīng):?

a) 為管理信息安全風(fēng)險(xiǎn)識(shí)別適當(dāng)?shù)墓芾泶胧?、資源、職責(zé)和優(yōu)先順序,即:制定風(fēng)險(xiǎn)處理計(jì)劃(見第5章)。?

b) 實(shí)施風(fēng)險(xiǎn)處理計(jì)劃以達(dá)到已識(shí)別的控制目標(biāo),包括資金安排、角色和職責(zé)的分配。?

c) 實(shí)施4.2.1 g)中所選擇的控制措施,以滿足控制目標(biāo)。?

d) 確定如何測(cè)量所選擇的控制措施或控制措施集的有效性,并指明如何用來(lái)評(píng)估控制措施的有效性,以產(chǎn)生可比較的和可再現(xiàn)的結(jié)果(見4.2.3c))。?

注:測(cè)量控制措施的有效性可使管理者和員工確定控制措施達(dá)到既定的控制目標(biāo)的程度。?

e) 實(shí)施培訓(xùn)和意識(shí)教育計(jì)劃(見5.2.2)。?

f) 管理ISMS的運(yùn)行。?

g) 管理ISMS的資源(見5.2)。?

h) 實(shí)施能夠迅速檢測(cè)安全事態(tài)和響應(yīng)安全事件的程序和其他控制措施(見4.2.3)a))。?

4.2.3 監(jiān)視和評(píng)審ISMS?

組織應(yīng):?

a) 執(zhí)行監(jiān)視與評(píng)審程序和其它控制措施,以:?

1) 迅速檢測(cè)過(guò)程運(yùn)行結(jié)果中的錯(cuò)誤;?

2) 迅速識(shí)別試圖的和得逞的安全違規(guī)和事件;?

3) 使管理者能夠確定分配給人員的安全活動(dòng)或通過(guò)信息技術(shù)實(shí)施的安全活動(dòng)是否被如期執(zhí)行;?

4) 通過(guò)使用指示器,幫助檢測(cè)安全事態(tài)并預(yù)防安全事件;?

5) 確定解決安全違規(guī)的措施是否有效。?

b) 在考慮安全審核結(jié)果、事件、有效性測(cè)量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上,進(jìn)行ISMS有效性的定期評(píng)審(包括滿足ISMS方針和目標(biāo),以及安全控制措施的評(píng)審)。?

c) 測(cè)量控制措施的有效性以驗(yàn)證安全要求是否被滿足。?

d) 按照計(jì)劃的時(shí)間間隔進(jìn)行風(fēng)險(xiǎn)評(píng)估的評(píng)審,以及對(duì)殘余風(fēng)險(xiǎn)和已確定的可接受的風(fēng)險(xiǎn)級(jí)別進(jìn)行評(píng)審,應(yīng)考慮以下方面的變化:?

1) 組織;?

2) 技術(shù);?

3) 業(yè)務(wù)目標(biāo)和過(guò)程;?

4) 已識(shí)別的威脅;?

5) 已實(shí)施的控制措施的有效性;?

6) 外部事態(tài),如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會(huì)環(huán)境的變更。?

e) 按計(jì)劃的時(shí)間間隔,實(shí)施ISMS內(nèi)部審核(見第6章)。?

注:內(nèi)部審核,有時(shí)稱為第一方審核,是用于內(nèi)部目的,由組織自己或以組織的名義所進(jìn)行的審核。?

f) 定期進(jìn)行ISMS管理評(píng)審,以確保ISMS范圍保持充分,ISMS過(guò)程的改進(jìn)得到識(shí)別(見7.1)。?

g) 考慮監(jiān)視和評(píng)審活動(dòng)的結(jié)果,以更新安全計(jì)劃。?

h) 記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事態(tài)(見4.3.3)。?

4.2.4 保持和改進(jìn)ISMS?

組織應(yīng)經(jīng)常:?

a) 實(shí)施已識(shí)別的ISMS改進(jìn)措施。?

b) 依照8.2和8.3采取合適的糾正和預(yù)防措施。從其它組織和組織自身的安全經(jīng)驗(yàn)中吸取教訓(xùn)。?

c) 向所有相關(guān)方溝通措施和改進(jìn)情況,其詳細(xì)程度應(yīng)與環(huán)境相適應(yīng),需要時(shí),商定如何進(jìn)行。?

d) 確保改進(jìn)達(dá)到了預(yù)期目標(biāo)。?

4.3 文件要求?

4.3.1 總則?

文件應(yīng)包括管理決定的記錄,以確保所采取的措施符合管理決定和方針策略,還應(yīng)確保所記錄的結(jié)果是可重復(fù)產(chǎn)生的。?

重要的是,能夠顯示出所選擇的控制措施回溯到風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理過(guò)程的結(jié)果、并進(jìn)而回溯到ISMS方針和目標(biāo)之間的關(guān)系。?

ISMS文件應(yīng)包括:?

a) 形成文件的ISMS方針[見4.2.1b)]和目標(biāo);?

b) ISMS的范圍[見4.2.la)];?

c) 支持ISMS的程序和控制措施;?

d) 風(fēng)險(xiǎn)評(píng)估方法的描述[見4.2.1c)];?

e) 風(fēng)險(xiǎn)評(píng)估報(bào)告 [見4.2.1c)到4.2.1g)];?

f) 風(fēng)險(xiǎn)處理計(jì)劃[見4.2.2b)];?

g) 組織為確保其信息安全過(guò)程的有效規(guī)劃、運(yùn)行和控制以及描述如何測(cè)量控制措施的有效性所需的形成文件的程序(見4.2.3c));?

5?

h) 本標(biāo)準(zhǔn)所要求的記錄(見4.3.3);?

i) 適用性聲明。?

注1:本標(biāo)準(zhǔn)出現(xiàn)“形成文件的程序”之處,即要求建立該程序,形成文件,并加以實(shí)施和保持。?

注2:不同組織的ISMS文件的詳略程度取決于:?

? 組織的規(guī)模和活動(dòng)的類型;?

? 安全要求和被管理系統(tǒng)的范圍及復(fù)雜程度;?

注3:文件和記錄可以采用任何形式或類型的介質(zhì)。?

4.3.2 文件控制?

ISMS所要求的文件應(yīng)予以保護(hù)和控制。應(yīng)編制形成文件的程序,以規(guī)定以下方面所需的管理措施:?

a) 文件發(fā)布前得到批準(zhǔn),以確保文件是適當(dāng)?shù)模?

b) 必要時(shí)對(duì)文件進(jìn)行評(píng)審、更新并再次批準(zhǔn);?

c) 確保文件的更改和現(xiàn)行修訂狀態(tài)得到標(biāo)識(shí);?

d) 確保在使用處可獲得適用文件的相關(guān)版本;?

e) 確保文件保持清晰、易于識(shí)別;?

f) 確保文件對(duì)需要的人員可用,并依照文件適用的類別程序進(jìn)行傳輸、貯存和最終銷毀;?

g) 確保外來(lái)文件得到標(biāo)識(shí);?

h) 確保文件的分發(fā)得到控制;?

i) 防止作廢文件的非預(yù)期使用;?

j) 若因任何目的而保留作廢文件時(shí),對(duì)這些文件進(jìn)行適當(dāng)?shù)臉?biāo)識(shí)。?

4.3.3 記錄控制?

記錄應(yīng)建立并加以保持,以提供符合ISMS要求和有效運(yùn)行的證據(jù)。記錄應(yīng)加以保護(hù)和控制。ISMS的記錄應(yīng)考慮相關(guān)法律法規(guī)要求和合同義務(wù)。記錄應(yīng)保持清晰、易于識(shí)別和檢索。記錄的標(biāo)識(shí)、貯存、保護(hù)、檢索、保存期限和處置所需的控制措施應(yīng)形成文件并實(shí)施。?

應(yīng)保留4.2中列出的過(guò)程執(zhí)行記錄和所有發(fā)生的與ISMS有關(guān)的重大安全事件的記錄。?

例如:記錄包括訪客登記薄、審核報(bào)告和已完成的訪問(wèn)授權(quán)單。?

5 管理職責(zé)?

5.1 管理承諾?

管理者應(yīng)通過(guò)以下活動(dòng),對(duì)建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS的承諾提供證據(jù):?

a) 制定ISMS方針;?

b) 確保ISMS目標(biāo)和計(jì)劃得以制定;?

c) 建立信息安全的角色和職責(zé);?

d) 向組織傳達(dá)滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進(jìn)的重要性;?

e) 提供足夠資源,以建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS (見5.2.1);?

f) 決定接受風(fēng)險(xiǎn)的準(zhǔn)則和風(fēng)險(xiǎn)的可接受級(jí)別;?

g) 確保ISMS內(nèi)部審核的執(zhí)行(見第6章);?

h) 實(shí)施ISMS的管理評(píng)審(見第7章)。?

5.2 資源管理?

5.2.1 資源提供?

組織應(yīng)確定并提供所需的資源,以:?

a) 建立、實(shí)施、運(yùn)行、監(jiān)視、評(píng)審、保持和改進(jìn)ISMS;?

b) 確保信息安全程序支持業(yè)務(wù)要求;?

c) 識(shí)別和滿足法律法規(guī)要求、以及合同中的安全義務(wù);?

d) 通過(guò)正確實(shí)施所有的控制措施保持適當(dāng)?shù)陌踩?

e) 必要時(shí),進(jìn)行評(píng)審,并適當(dāng)響應(yīng)評(píng)審的結(jié)果;?

f) 在需要時(shí),改進(jìn)ISMS的有效性。?

5.2.2 培訓(xùn)、意識(shí)和能力?

組織應(yīng)通過(guò)以下方式,確保所有分配有ISMS職責(zé)的人員具有執(zhí)行所要求任務(wù)的能力:?

a) 確定從事影響ISMS工作的人員所必要的能力;?

b) 提供培訓(xùn)或采取其他措施(如聘用有能力的人員)以滿足這些需求;?

c) 評(píng)價(jià)所采取的措施的有效性;?

d) 保持教育、培訓(xùn)、技能、經(jīng)歷和資格的記錄(見4.3.3)。?

組織也要確保所有相關(guān)人員意識(shí)到其信息安全活動(dòng)的適當(dāng)性和重要性,以及如何為達(dá)到ISMS目標(biāo)做出貢獻(xiàn)。?

6 內(nèi)部ISMS審核?

組織應(yīng)按照計(jì)劃的時(shí)間間隔進(jìn)行內(nèi)部ISMS審核,以確定其ISMS的控制目標(biāo)、控制措施、過(guò)程和程序是否:?

a) 符合本標(biāo)準(zhǔn)和相關(guān)法律法規(guī)的要求;?

b) 符合已確定的信息安全要求;?

c) 得到有效地實(shí)施和保持;?

d) 按預(yù)期執(zhí)行。?

應(yīng)在考慮擬審核的過(guò)程與區(qū)域的狀況和重要性以及以往審核的結(jié)果的情況下,制定審核方案。應(yīng)確定審核的準(zhǔn)則、范圍、頻次和方法。審核員的選擇和審核的實(shí)施應(yīng)確保審核過(guò)程的客觀性和公正性。審核員不應(yīng)審核自己的工作。?

策劃和實(shí)施審核、報(bào)告結(jié)果和保持記錄(見4.3.3)的職責(zé)和要求應(yīng)在形成文件的程序中做出規(guī)定。?

負(fù)責(zé)受審區(qū)域的管理者應(yīng)確保及時(shí)采取措施,以消除已發(fā)現(xiàn)的不符合及其產(chǎn)生的原因。跟蹤活動(dòng)應(yīng)包括對(duì)所采取措施的驗(yàn)證和驗(yàn)證結(jié)果的報(bào)告(見第8章)。?

注:GB/T 19011-2003(《質(zhì)量和(或)環(huán)境管理體系審核指南》),,也可為實(shí)施內(nèi)部ISMS審核提供有用的指導(dǎo)。?

7 ISMS的管理評(píng)審

?7.1 總則?

管理者應(yīng)按計(jì)劃的時(shí)間間隔(至少每年1次)評(píng)審組織的ISMS,以確保其持續(xù)的適宜性、充分性和有效性。評(píng)審應(yīng)包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要,包括信息安全方針和信息安全目標(biāo)。評(píng)審的結(jié)果應(yīng)清晰地形成文件,記錄應(yīng)加以保持(見4.3.3)。?

7.2 評(píng)審輸入?

管理評(píng)審的輸入應(yīng)包括:?

a) ISMS審核和評(píng)審的結(jié)果;?

b) 相關(guān)方的反饋;?

c) 組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品或程序;?

d) 預(yù)防和糾正措施的狀況;?

e) 以往風(fēng)險(xiǎn)評(píng)估沒有充分強(qiáng)調(diào)的脆弱點(diǎn)或威脅;?

f) 有效性測(cè)量的結(jié)果;?

g) 以往管理評(píng)審的跟蹤措施;?

h) 可能影響ISMS的任何變更;?

i) 改進(jìn)的建議。?

7.3 評(píng)審輸出?

管理評(píng)審的輸出應(yīng)包括與以下方面有關(guān)的任何決定和措施:?

a) ISMS有效性的改進(jìn);?

b) 風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處理計(jì)劃的更新;?

c) 必要時(shí)修改影響信息安全的程序和控制措施,以響應(yīng)內(nèi)部或外部可能影響ISMS的事態(tài),包括以下的變更:?

1) 業(yè)務(wù)要求;?

2) 安全要求;?

3) 影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過(guò)程;?

4) 法律法規(guī)環(huán)境;?

5) 合同義務(wù);?

6) 風(fēng)險(xiǎn)級(jí)別和/或接受風(fēng)險(xiǎn)的準(zhǔn)則。?

d) 資源需求;?

e) 如何測(cè)量控制措施有效性的改進(jìn)。?

8 ISMS改進(jìn)?

8.1 持續(xù)改進(jìn)?

組織應(yīng)通過(guò)使用信息安全方針、安全目標(biāo)、審核結(jié)果、監(jiān)視事態(tài)的分析、糾正和預(yù)防措施以及管理評(píng)審(見第7章),持續(xù)改進(jìn)ISMS的有效性。?

8.2 糾正措施?

組織應(yīng)采取措施,以消除與ISMS要求不符合的原因,以防止再發(fā)生。形成文件的糾正措施程序,應(yīng)規(guī)定以下方面的要求:?

a) 識(shí)別不符合;?

b) 確定不符合的原因;?

c) 評(píng)價(jià)確保不符合不再發(fā)生的措施需求;?

d) 確定和實(shí)施所需要的糾正措施;?

e) 記錄所采取措施的結(jié)果(見4.3.3);?

f) 評(píng)審所采取的糾正措施。?

8.3 預(yù)防措施?

組織應(yīng)確定措施,以消除潛在不符合的原因,防止其發(fā)生。預(yù)防措施應(yīng)與潛在問(wèn)題的影響程度相適應(yīng)。形成文件的預(yù)防措施程序,應(yīng)規(guī)定以下方面的要求:?

a) 識(shí)別潛在的不符合及其原因;?

b) 評(píng)價(jià)防止不符合發(fā)生的措施需求;?

c) 確定和實(shí)施所需要的預(yù)防措施;?

d) 記錄所采取措施的結(jié)果(見4.3.3);?

e) 評(píng)審所采取的預(yù)防措施。?

組織應(yīng)識(shí)別變化的風(fēng)險(xiǎn),并識(shí)別針對(duì)重大變化的風(fēng)險(xiǎn)的預(yù)防措施的要求。?

預(yù)防措施的優(yōu)先級(jí)要根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果確定。?

注:預(yù)防不符合的措施通常比糾正措施更節(jié)約成本。?

?收費(fèi)標(biāo)準(zhǔn)

?

認(rèn)證項(xiàng)目

認(rèn)證費(fèi)

咨詢費(fèi)

合計(jì)費(fèi)用

備?注

ISO14001:2004
(普通咨詢)
中級(jí)風(fēng)險(xiǎn)(1-30人)?
認(rèn)證標(biāo)準(zhǔn):?
GB/T24001-2004

1.4萬(wàn)元

免收咨詢費(fèi)

1.4萬(wàn)元

1.合法取證?
2.達(dá)到培訓(xùn)目的?
3.后續(xù)服務(wù):保證每年順利通過(guò)監(jiān)審?
4.不增收有關(guān)公關(guān)的饋贈(zèng)?
5.獲證后無(wú)風(fēng)險(xiǎn)

ISO14001:2004
(精細(xì)咨詢)
中級(jí)風(fēng)險(xiǎn)(1-30人)?
認(rèn)證標(biāo)準(zhǔn):?
GB/T24001-2004

1.4萬(wàn)元

1.4萬(wàn)元

2.8萬(wàn)元

1.達(dá)到以上各項(xiàng)承諾?
2.認(rèn)真調(diào)查診斷,提出整改方案?
3.對(duì)全體員工進(jìn)行全面培訓(xùn)(由上到下)?
識(shí)別、控制和監(jiān)測(cè)組織的環(huán)境因素的要求,以及如何控制和改進(jìn)整個(gè)系統(tǒng)。?
4.培養(yǎng)能夠獨(dú)立運(yùn)行體系的管理人員。?
5.體系文件適合企業(yè)實(shí)際,消除“兩層皮”現(xiàn)象。
6.優(yōu)化流程,減少浪費(fèi)及損失。?
7.責(zé)任落實(shí)到位,管理科學(xué)化。?
8.達(dá)到環(huán)保要求及環(huán)境標(biāo)準(zhǔn)。?
9. 提高企業(yè)的環(huán)境管理水平,提高員工環(huán)境意識(shí)。?
10解決節(jié)約能源,降低消耗。 ?

?

?

?

?

后續(xù)服務(wù)

?

?

在企業(yè)人員沒有大的變動(dòng)、企業(yè)營(yíng)業(yè)范圍及產(chǎn)品沒有增加及大的變動(dòng),三年之內(nèi)的兩次監(jiān)督審核是免費(fèi)咨詢服務(wù)的;如企業(yè)有變動(dòng)產(chǎn)品有增加根據(jù)情況適當(dāng)?shù)氖杖∽稍冑M(fèi)。三年之后復(fù)評(píng)按初次審核的2/3進(jìn)行收費(fèi)。

您也可以咨詢他們
更多>

專業(yè)顧問(wèn)進(jìn)行一對(duì)一咨詢

  • 問(wèn)題補(bǔ)充(必填)

  • 驗(yàn)證碼(必填)

    看不清楚,點(diǎn)擊刷新
友情鏈接