ISO14001:2015 標準-1

時間：2021-12-01

1 范圍

1.1 總則

本標準適用于所有類型的組織（例如，商業(yè)企業(yè)、**機構(gòu)、非贏利組織）。本標準從組織的整體業(yè)務(wù)風險的角度，為建立、實施、運行、監(jiān)視、評審、保持和改進文件化的ISMS規(guī)定了要求。它規(guī)定了為適應不同組織或其部門的需要而定制的安全控制措施的實施要求。

ISMS的設(shè)計應確保選擇適當和相宜的安全控制措施，以充分保護信息資產(chǎn)并給予相關(guān)方信心。

注1：本標準中的“業(yè)務(wù)”一詞應廣義的解釋為關(guān)系一個組織生存的**活動。

注2：ISO/IEC 17799提供了設(shè)計控制措施時可使用的實施指南。

1.2 應用

本標準規(guī)定的要求是通用的，適用于各種類型、規(guī)模和特性的組織。組織聲稱符合本標準時，對于4、5、6、7和8章的要求不能刪減。

為了滿足風險接受準則所必須進行的任何控制措施的刪減，必須證明是合理的，且需要提供證據(jù)證明相關(guān)風險已被負責人員接受。除非刪減不影響組織滿足由風險評估和適用法律法規(guī)要求所確定的安全要求的能力和/或責任，否則不能聲稱符合本標準。

注：如果一個組織已經(jīng)有一個運轉(zhuǎn)著的業(yè)務(wù)過程管理體系（例如，與ISO 9001或者ISO 14001相關(guān)的），那么在大多數(shù)情況下，較可取的是在這個現(xiàn)有的管理體系內(nèi)滿足本標準的要求。

2 規(guī)范性引用文件

下列參考文件對于本文件的應用是**的。凡是注日期的引用文件，只有引用的版本適用于本標準；凡是不注日期的引用文件，其較新版本（包括任何修改）適用于本標準。

ISO/IEC 17799:2005，信息技術(shù)—安全技術(shù)—信息安全管理實用規(guī)則。

3 術(shù)語和定義

本標準采用以下術(shù)語和定義。

3.1

資產(chǎn) asset

任何對組織有**的東西[ISO/IEC 13335-1:2004]。

3.2

可用性 availability

根據(jù)授權(quán)實體的要求可訪問和利用的特性[ISO/IEC 13335-1:2004]。

3.3

保密性confidentiality

信息不能被未授權(quán)的個人，實體或者過程利用或知悉的特性[ISO/IEC 13335-1:2004]。

3.4信息安全information security

保證信息的保密性，完整性，可用性；另外也可包括諸如真實性，可核查性，不可否認性和可靠性等特性[ISO/IEC 17799：2005]。

3.5

信息安全事態(tài) information security event

信息安全事態(tài)是指系統(tǒng)、服務(wù)或網(wǎng)絡(luò)的一種可識別的狀態(tài)的發(fā)生，它可能是對信息安全策略的違反或防護措施的失效，或是和安全關(guān)聯(lián)的一個先前未知的狀態(tài)[ISO/IEC TR 18044：2004]。

3.6

信息安全事件 information security incident

一個信息安全事件由單個的或一系列的有害或意外信息安全事態(tài)組成，它們具有損害業(yè)務(wù)運作和威脅信息安全的較大的可能性[ISO/IEC TR 18044：2004]。

3.7

信息安全管理體系（ISMS） information security management system（ISMS）

是整個管理體系的一部分。它是基于業(yè)務(wù)風險方法，來建立、實施、運行、監(jiān)視、評審、保持和改進信息安全的。

注：管理體系包括組織結(jié)構(gòu)、方針策略、規(guī)劃活動、職責、實踐、程序、過程和資源。

3.8

完整性integrity

保護資產(chǎn)的準確和完整的特性[ISO/IEC 13335-1:2004]。

3.9

殘余風險 residual risk

經(jīng)過風險處理后遺留的風險[ISO/IEC Guide 73:2002]。

3.10

風險接受risk acceptance

接受風險的決定[ISO/IEC Guide 73：2002]。

3.11

風險分析risk analysis

系統(tǒng)地使用信息來識別風險來源和估計風險[ISO/IEC Guide 73：2002]。

3.12

風險評估risk assessment

風險分析和風險評價的整個過程[ISO/IEC Guide 73：2002]。

3.13

風險評價risk evaluation

將估計的風險與給定的風險準則加以比較以確定風險嚴重性的過程[ISO/IEC Guide 73：2002]。

3.14

風險管理risk management

指導和控制一個組織相關(guān)風險的協(xié)調(diào)活動[ISO/IEC Guide 73：2002]。

風險處理risk treatment

選擇并且執(zhí)行措施來更改風險的過程[ISO/IEC Guide 73：2002]。

3.16

2 術(shù)語“責任人”標識了已經(jīng)獲得管理者的批準，負責產(chǎn)生、開發(fā)、維護、使用和保證資產(chǎn)的安全的個人或?qū)嶓w。術(shù)語“責任人”不是指該人員實際上對資產(chǎn)擁有所有權(quán)。

適用性聲明statement of applicability

描述與組織的信息安全管理體系相關(guān)的和適用的控制目標和控制措施的文檔。

注：控制目標和控制措施基于風險評估和風險處理過程的結(jié)果和結(jié)論、法律法規(guī)的要求、合同義務(wù)以及組織對于信息安全的業(yè)務(wù)要求。

詞條
詞條說明
TS16949對受審核方的要求
ISO/TS16949：2002認證注冊，只適用于汽車整車廠和其直接的零備件制造商。這些廠家必須是直接與生產(chǎn)汽車有關(guān)的，具有加工制造能力，并通過這種能力的實現(xiàn)使產(chǎn)品能夠增值。要求獲得ISO/TS16949：2002認證注冊的公司，必須具備有至少12個月的生產(chǎn)和質(zhì) 量管理記錄，包括內(nèi)部評審和管理層評審的完整記錄。???????對于
反賄賂管理體系
反賄賂管理體系認證是指企業(yè)建立和實施的一套反賄賂管理體系，并通過認證機構(gòu)的審核和認證，確認其反賄賂管理體系符合相關(guān)標準和要求。目前，上常用的反賄賂管理體系標準是ISO 37001：2016《反賄賂管理體系要求與指南》。該標準提供了一套指導企業(yè)建立、實施和維護反賄賂管理體系的要求和指南。以下是一般的反賄賂管理體系認證的步驟：?了解認證標準：詳細了解ISO 37001標準的要求和指南，了解反
ISO14001環(huán)境管理體系審核重點
ISO14001審核過程中，根據(jù)導則62及EA110的規(guī)定分**階段和*二階段，兩個階段審核側(cè)重點的準確把握是ISO14001審核的有效性的重要保證之一。兩個階段在ISO14001審核過程中體現(xiàn)不同的層次和不同的側(cè)重點，一階段審核是二階段審核的基礎(chǔ)，通過一階段的審核明確二階段審核的重點的方向；二階段審核是在一階段審核基礎(chǔ)上對體系運行所作出的全面、系統(tǒng)的評價。通過一階段的審核，指出體系在策劃方面、
ISO14001環(huán)境管理體系審核程序
一、環(huán)境管理體系審核在ISO14011環(huán)境管理體系審核程序的標準中，規(guī)定了環(huán)境管理體系審核的定義。即"環(huán)境管理體系審核是客觀地獲取審核證據(jù)并予以評價，以判斷一個組織的環(huán)境管理體系是否符合環(huán)境管理體系審核準則的一個系統(tǒng)化和文件化的驗證過程，包括將這一過程的結(jié)果呈報委托方。"環(huán)境管理體系審核是判定一個組織的環(huán)境管理體系是否符合環(huán)境管理體系審核準則、進而決定是否給予該組織注冊的一個重要步驟。所以環(huán)境