产品规格:
产品数量:
包装说明:
关 键 词:伊春ISO14001价格低
行 业:商务服务 认证服务
发布时间:2021-10-16
3.2 与策划有关的术语
3.2.1环境 environment
组织(3.1.4)运行活动的外部存在,包括空气、水、土地、自然资源、植物、动物、人,以及它们之间的相互关系。
注 1:外部存在可能从组织内廷伸到当地、区域和全球系统。
注 2:外部存在可能用生物多样性、生态系统、气候或其他特征来描述。
1 范围
1.1 总则
本标准适用于所有类型的组织(例如,商业企业、机构、非赢利组织)。本标准从组织的整体业务风险的角度,为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。
ISMS的设计应确保选择适当和相宜的安全控制措施,以充分保护信息资产并给予相关方信心。
注1:本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。
注2:ISO/IEC 17799提供了设计控制措施时可使用的实施指南。
1.2 应用
本标准规定的要求是通用的,适用于各种类型、规模和特性的组织。组织声称符合本标准时,对于4、5、6、7和8章的要求不能删减。
为了满足风险接受准则所必须进行的任何控制措施的删减,必须是合理的,且需要提供证据相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任,否则不能声称符合本标准。
注:如果一个组织已经有一个运转着的业务过程管理体系(例如,与ISO 9001或者ISO 14001相关的),那么在大多数情况下,更可取的是在这个现有的管理体系内满足本标准的要求。
2 规范性引用文件
下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件,只有引用的版本适用于本标准;凡是不注日期的引用文件,其新版本(包括任何修改)适用于本标准。
ISO/IEC 17799:2005,信息技术—安全技术—信息安全管理实用规则。
3 术语和定义
本标准采用以下术语和定义。
3.1
资产 asset
任何对组织有价值的东西[ISO/IEC 13335-1:2004]。
3.2
可用性 availability
根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。
3.3
保密性confidentiality
信息不能被未授权的个人,实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。
3.4信息安全information security
保证信息的保密性,完整性,可用性;另外也可包括诸如真实性,可核查性,不可否认性和可靠性等特性[ISO/IEC 17799:2005]。
3.5
信息安全事态 information security event
信息安全事态是指系统、服务或网络的一种可识别的状态的发生,它可能是对信息安全策略的违反或防护措施的失效,或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044:2004]。
3.6
信息安全事件 information security incident
一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成,它们具有损害业务运作和威胁信息安全的极大的可能性[ISO/IEC TR 18044:2004]。
3.7
信息安全管理体系(ISMS) information security management system(ISMS)
是整个管理体系的一部分。它是基于业务风险方法,来建立、实施、运行、监视、评审、保持和改进信息安全的。
注:管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。
3.8
完整性integrity
保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。
3.9
残余风险 residual risk
经过风险处理后的风险[ISO/IEC Guide 73:2002]。
3.10
风险接受risk acceptance
接受风险的决定[ISO/IEC Guide 73:2002]。
3.11
风险分析risk ysis
系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73:2002]。
3.12
风险评估risk assessment
风险分析和风险评价的整个过程[ISO/IEC Guide 73:2002]。
3.13
风险评价risk evaluation
将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73:2002]。
3.14
风险管理risk management
和控制一个组织相关风险的协调活动[ISO/IEC Guide 73:2002]。
3.15
风险处理risk treatment
选择并且执行措施来更改风险的过程[ISO/IEC Guide 73:2002]。
3.16
2 术语“责任人”标识了已经获得管理者的批准,负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。
适用性声明statement of applicability
描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。
注:控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。
4 信息安全管理体系(ISMS)
4.1 总要求
组织应在其整体业务活动和所面临风险的环境下建立、实施、运行、监视、评审、保持和改进文件化的ISMS。在本标准中,所使用的过程基于图1所示的PDCA模型。
4.2 建立和管理ISMS
4.2.1 建立ISMS
组织要做以下方面的工作:
a) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS的范围和边界,包括对范围任何删减的详细说明和正当性理由(见1.2)。
b) 根据业务、组织、位置、资产和技术等方面的特性,确定ISMS方针。ISMS方针应:
1) 包括设定目标的框架和建立信息安全工作的总方向和原则;
2) 考虑业务和法律法规的要求,及合同中的安全义务;
3) 在组织的战略性风险管理环境下,建立和保持ISMS;
4) 建立风险评价的准则[见4.2.1 c]];
5) 获得管理者批准。
注:就本标准的目的而言,ISMS方针被认为是信息安全方针的一个扩展集。这些方针可以在一个文件中进行描述。
c) 确定组织的风险评估方法
1)识别适合ISMS、已识别的业务信息安全和法律法规要求的风险评估方法。
2)制定接受风险的准则,识别可接受的风险级别(见5.1f)。
选择的风险评估方法应确保风险评估产生可比较的和可再现的结果。
注:风险评估具有不同的方法。在ISO/IEC TR 13335-3《信息技术 IT安全管理指南:IT安全管理技术》中描述了风险评估方法的例子。
d) 识别风险
1) 识别ISMS范围内的资产及其责任人2;
2) 识别资产所面临的威胁;
3) 识别可能被威胁利用的脆弱点;
4) 识别丧失保密性、完整性和可用性可能对资产造成的影响。
e) 分析和评价风险
1) 在考虑丧失资产的保密性、完整性和可用性所造成的后果的情况下,评估安全失误可能造成的对组织的影响。
2) 评估由主要威胁和脆弱点导致安全失误的现实可能性、对资产的影响以及当前所实施的控制措施。
3) 估计风险的级别。
4) 确定风险是否可接受,或者是否需要使用在4.2.1 c)2)中所建立的接受风险的准则进行处理。
f) 识别和评价风险处理的可选措施
可能的措施包括:
1) 采用适当的控制措施;
2) 在明显满足组织方针策略和接受风险的准则的条件下,有意识地、客观地接受风险[见4.2.1 c)2)];
3) 避免风险;
4) 将相关业务风险转移到其他方,如:保险,供应商等。
根据《中华共和国固体废物污染环 境防治法》,特制定《国家危险废物名录》。现予公布,自2008年8月1日起施行。
1998年1月4日原国家环 境保护局、国家经济贸易会、对外贸易经济合作部、发布的《国家危险废物名录》(环发〔1998〕89号)同时废止。
环境保护部部长 *
发展改革委 张 平
二○○八年六月六日
国家危险废物名录
条 根据《中华共和国固体废物污染环境防治法》的有关规定,制定本名录。
第二条 具有下列情形之一的固体废物和液态废物,列入本名录:
(一)具有腐蚀性、毒 性、易燃性、反应性或者感染性等一种或者几种危险特性的;
(二)不排除具有危险特性,可能对环境或者人体健康 造成有害影响,需要按照危险废物进行管理的。
第三条 废物属于危险废物。《废物分类目录》 根据《废物管理条例》另行制定和公布。
第四条 未列入本名录和《废物分类目录》的固体 废物和液态废物,由环境保护行政主管部门组织,根据国家危险废物鉴别标准和鉴别方法认定具有危险特性的,属于危险 废物,适时增补进本名录。
第五条 危险废物和非危险废物混合物的性质判定,按照国家危险废物鉴 别标准执行。
第六条 家庭日常生活中产生的废药品及其包装物、废和消毒剂及其包装物、废 油漆和溶剂及其包装物、废矿物油及其包装物、废胶片及废像纸、废荧光灯管、废温度计、废血压计、废镍镉电池和电池以及 电子类危险废物等,可以不按照危险废物进行管理。将前款所列废弃物从生活垃圾中分类收集后,其 运输、贮存、利用或者处置,按照危险废物进行管理。
第七条 环境保护行政主管部门将根据 危险废物环境管理的需要,对本名录进行适时调整并公布。
第八条 本名录中有关术语的含义如下:
(一)“废物类别”是按照《控制危险废物越境转移及其处置巴塞尔公约》划定的类别进行的 归类。
(二)“行业来源”是某种危险废物的产生源。
(三)“废物代码”是 危险废物的代码,为8位数字。其中,第1-3位为危险废物产生行业代码,第4-6位为废物顺序代码,第7-8位为废物类别代码。
(四)“危险特性”是指腐蚀性(Corrosivity, C)、毒性(Toxicity, T)、易燃性(Ignitability, I )、反应性(Reactivity, R)和感染性(Infectivity, In)
第九条 本名录自2008年8月1日起施行 。1998年1月4日原国家环境保护局、国家经济贸易会、对外贸易经济合作部、发布的《国家危险废物名录》(环发〔1998 〕89号)同时废止。
[GB/T 9000:2000, 3.6.2]
这是ISO管理体系标准附件SL给出的一个通用的术语和核心定义(3.19)。
通过对原始定义增加注1得到
3.4.4 纠正措施 corrective action
为消除不符合(3.4.3)的原因并预防再次发生所采取的措施。
注 1:一项不符合可能由不止一个原因导致。
