大兴安岭地区ISO14001电话 环境

1 范围 
1.1 总则 
本标准适用于所有类型的组织（例如，商业企业、机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 
ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。 
注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 
注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 
1.2 应用 
本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。 
为了满足风险接受准则所必须进行的任何控制措施的删减，必须是合理的，且需要提供证据相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。 
注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。 
2 规范性引用文件 
下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其新版本（包括任何修改）适用于本标准。 
ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。 
3 术语和定义 
本标准采用以下术语和定义。 
3.1 
资产 asset 
任何对组织有价值的东西[ISO/IEC 13335-1:2004]。 
3.2 
可用性 availability 
根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。 
3.3 
保密性confidentiality 
信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。 
3.4信息安全information security 
保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。 
3.5 
信息安全事态 information security event 
信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。 
3.6 
信息安全事件 information security incident 
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044：2004]。 
3.7 
信息安全管理体系（ISMS） information security management system（ISMS） 
是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。 
注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 
3.8 
完整性integrity 
保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。 
3.9
残余风险 residual risk 
经过风险处理后的风险[ISO/IEC Guide 73:2002]。 
3.10 
风险接受risk acceptance
接受风险的决定[ISO/IEC Guide 73：2002]。 
3.11 
风险分析risk ysis 
系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。 
3.12 
风险评估risk assessment 
风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。 
3.13 
风险评价risk evaluation 
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。 
3.14 
风险管理risk management 
和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。 
3.15 
风险处理risk treatment 
选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。 
3.16 
2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。 
适用性声明statement of applicability 
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。 
注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。 
4 信息安全管理体系（ISMS） 
4.1 总要求 
组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中，所使用的过程基于图1所示的PDCA模型。 
4.2 建立和管理ISMS 
4.2.1 建立ISMS
组织要做以下方面的工作： 
a) 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS的范围和边界，包括对范围任何删减的详细说明和正当性理由（见1.2）。 
b) 根据业务、组织、位置、资产和技术等方面的特性，确定ISMS方针。ISMS方针应： 
1) 包括设定目标的框架和建立信息安全工作的总方向和原则； 
2) 考虑业务和法律法规的要求，及合同中的安全义务； 
3) 在组织的战略性风险管理环境下，建立和保持ISMS； 
4) 建立风险评价的准则[见4.2.1 c]]； 
5) 获得管理者批准。 
注：就本标准的目的而言，ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。 
c) 确定组织的风险评估方法 
1）识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。 
2）制定接受风险的准则，识别可接受的风险级别（见5.1f）。 
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。 
注：风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术 IT安全管理指南：IT安全管理技术》中描述了风险评估方法的例子。 
d) 识别风险 
1) 识别ISMS范围内的资产及其责任人2； 
2) 识别资产所面临的威胁； 
3) 识别可能被威胁利用的脆弱点； 
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。 
e) 分析和评价风险 
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下，评估安全失误可能造成的对组织的影响。 
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。 
3) 估计风险的级别。 
4) 确定风险是否可接受，或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处理。 
f) 识别和评价风险处理的可选措施 
可能的措施包括： 
1) 采用适当的控制措施； 
2) 在明显满足组织方针策略和接受风险的准则的条件下，有意识地、客观地接受风险[见4.2.1 c)2)]； 
3) 避免风险； 
4) 将相关业务风险转移到其他方，如：保险，供应商等。

3.7 环境影响   environmental  impact 
全部或部分地由组织的环境因素给环境造成的任何有害或有益的变化。
3.2.5 目标   objective 
要实现的结果。
注 1：目标可能是战略性的、战术性的或运行层面的。
注 2：目标可能涉及不同的领域（例如：财务、健康与安全以及环境的目标），并能够应用于不同层面（例如：战略、组织范围、项目、产品、服务和过程（3.3.5））。
注 3：目标可能以其他方式表达，例如：预期结果、目的、运行准则、环境目标（3.2.6），或使用其它意思相近的词语,例如：指标等表达。
这是ISO管理体系标准附件SL给出的一个通用的术语和核心定义（3.8）。
修改了原始定义的注释2，增加注3。
3.2.6 环境目标   environmental objective 
组织（3.1.4）依据其环境方针（3.1.3）制定的目标（3.2.5）。

获取审核证据并予以客观评价，以判定审核准则满足程度的系统的、立的、形成文件的过程（3.5.5）。
注 1：内部审核由组织（3.1.4）自行实施执行或由外部其他方代表其实施。
注 2：审核可以是结合审核（结合两个或多个领域）。 
注 3：   审核应由与被审核活动无责任关系、无偏见和无利益冲突的人员进行，以证实其立性。
注 4：“审核证据”包括与审核准则相关且可验证的记录、事实陈述或其他信息；而“审核准则”则是指与审核证据进行比较时作为参照的一组方针、程序或要求（3.2.8），GB/T19011   3.3 和  3.2 中分别对它们进行了定义。

这是ISO管理体系标准附件SL给出的一个通用的术语和核心定义（3.3）。
修改了原始定义注2。
3.3.3 生命周期   life cycle 
产品（或服务）系统中前后衔接的一系列阶段，从自然界或从自然资源中获取原材料，直至终处置。
注 1：生命周期阶段包括原材料获取、设计、生产、运输和（或）交付、使用、寿命结束后处理和终处置。
[修订自：GB/T24044 中的   3.1——“（或服务）”已加入该定义，并增加了“注 1”]

●中泰智联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于2016年09月07日经北京市工商行政管理局登记注册成立，于2016年11月07日经认可监督管理会（CNCA）批准 ，批准号为：CNCA-R-2016-280。●认证活动的范围包括：质量管理体系（QMS）、环境管理体系（EMS）、职业健康安全管理体系（OHSMS）、服务认证，涉及的认证领域包括机械、塑料、电子等多个经济大类。●目前在长春、广州、武汉、江苏、山东、山西、东莞、四川、河南设立分公司，进行认证业务推广，能为客户提供方便快捷的认证服务。●中泰智联注重加强内部管理，不断提升审核人员和认证管理人员的能力，完善内部管理运行机制，以的技术、客观的竭诚为各类组织服务。●同时公司拥有一批的有丰富的认证机构工作经验、具有扎实的技术的管理人员和专职、审核员队伍。公司管理团队，作风严谨，工作敬业，确保中泰智联工作的性和性。●我们的承诺：诚信、严谨、，为客户提供的认证服务。中泰智中泰智联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于2016年09月07日经北京市工商行政管理局登记注册成立，于2016年11月07日经认可监督管理会（CNCA）批准 ，批准号为：CNCA-R-2016-280。我们的承诺：以的质量，创的服务，为客户提供、诚信、立、的认证。联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于2016年09月07日经北京市工商行政管理局登记注册成立，于2016年11月07日经认可监督管理会（CNCA）批准 ，批准号为：CNCA-R-2016-280。我们的承诺：以的质量，创的服务，为客户提供、诚信、立、的认证。中泰智联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于2016年09月07日经北京市工商行政管理局登记注册成立，于2016年11月07日经认可监督管理会（CNCA）批准 ，批准号为：CNCA-R-2016-280。我们的承诺：以的质量，创的服务，为客户提供、诚信、立、的认证。中泰智联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于2016年09月07日经北京市工商行政管理局登记注册成立，于2016年11月07日经认可监督管理会（CNCA）批准 ，批准号为：CNCA-R-2016-280。我们的承诺：以的质量，创的服务，为客户提供、诚信、立、的认证。中泰智联（北京）认证中心有限公司（以下简称“中泰智联”）是具有立法人的第三方认证机构，于201