ISO14001:2015 标准-1

时间：2021-12-01作者：中泰智联（北京）认证中心有限公司长春分公司浏览：152

1 范围 

 

1.1 总则 

 

本标准适用于所有类型的组织（例如，商业企业、**机构、非赢利组织）。本标准从组织的整体业务风险的角度，为建立、实施、运行、监视、评审、保持和改进文件化的ISMS规定了要求。它规定了为适应不同组织或其部门的需要而定制的安全控制措施的实施要求。 

 

ISMS的设计应确保选择适当和相宜的安全控制措施，以充分保护信息资产并给予相关方信心。 

 

注1：本标准中的“业务”一词应广义的解释为关系一个组织生存的核心活动。 

 

注2：ISO/IEC 17799提供了设计控制措施时可使用的实施指南。 

 

1.2 应用 

 

本标准规定的要求是通用的，适用于各种类型、规模和特性的组织。组织声称符合本标准时，对于4、5、6、7和8章的要求不能删减。 

 

为了满足风险接受准则所必须进行的任何控制措施的删减，必须证明是合理的，且需要提供证据证明相关风险已被负责人员接受。除非删减不影响组织满足由风险评估和适用法律法规要求所确定的安全要求的能力和/或责任，否则不能声称符合本标准。 

 

注：如果一个组织已经有一个运转着的业务过程管理体系（例如，与ISO 9001或者ISO 14001相关的），那么在大多数情况下，更可取的是在这个现有的管理体系内满足本标准的要求。 

 

2 规范性引用文件 

 

下列参考文件对于本文件的应用是必不可少的。凡是注日期的引用文件，只有引用的版本适用于本标准；凡是不注日期的引用文件，其较新版本（包括任何修改）适用于本标准。 

 

ISO/IEC 17799:2005，信息技术—安全技术—信息安全管理实用规则。 

 

3 术语和定义 

 

本标准采用以下术语和定义。 

 

3.1 

 

资产 asset 

 

任何对组织有价值的东西[ISO/IEC 13335-1:2004]。 

 

3.2 

 

可用性 availability 

 

根据授权实体的要求可访问和利用的特性[ISO/IEC 13335-1:2004]。 

 

3.3 

 

保密性confidentiality 

 

信息不能被未授权的个人，实体或者过程利用或知悉的特性[ISO/IEC 13335-1:2004]。 

 

3.4信息安全information security 

 

保证信息的保密性，完整性，可用性；另外也可包括诸如真实性，可核查性，不可否认性和可靠性等特性[ISO/IEC 17799：2005]。 

 

3.5 

 

信息安全事态 information security event 

 

信息安全事态是指系统、服务或网络的一种可识别的状态的发生，它可能是对信息安全策略的违反或防护措施的失效，或是和安全关联的一个先前未知的状态[ISO/IEC TR 18044：2004]。 

 

3.6 

 

信息安全事件 information security incident 

 

一个信息安全事件由单个的或一系列的有害或意外信息安全事态组成，它们具有损害业务运作和威胁信息安全的较大的可能性[ISO/IEC TR 18044：2004]。 

 

3.7 

 

信息安全管理体系（ISMS） information security management system（ISMS） 

 

是整个管理体系的一部分。它是基于业务风险方法，来建立、实施、运行、监视、评审、保持和改进信息安全的。 

 

注：管理体系包括组织结构、方针策略、规划活动、职责、实践、程序、过程和资源。 

 

3.8 

 

完整性integrity 

 

保护资产的准确和完整的特性[ISO/IEC 13335-1:2004]。 

 

3.9 

 

残余风险 residual risk 

 

经过风险处理后遗留的风险[ISO/IEC Guide 73:2002]。 

 

3.10 

 

风险接受risk acceptance 

 

接受风险的决定[ISO/IEC Guide 73：2002]。 

 

3.11 

 

风险分析risk analysis 

 

系统地使用信息来识别风险来源和估计风险[ISO/IEC Guide 73：2002]。 

 

3.12 

 

风险评估risk assessment 

 

风险分析和风险评价的整个过程[ISO/IEC Guide 73：2002]。 

 

3.13 

 

风险评价risk evaluation 

 

将估计的风险与给定的风险准则加以比较以确定风险严重性的过程[ISO/IEC Guide 73：2002]。 

 

3.14 

 

风险管理risk management 

 

指导和控制一个组织相关风险的协调活动[ISO/IEC Guide 73：2002]。 

 

* 

 

风险处理risk treatment 

 

选择并且执行措施来更改风险的过程[ISO/IEC Guide 73：2002]。 

 

3.16 

2 术语“责任人”标识了已经获得管理者的批准，负责产生、开发、维护、使用和保证资产的安全的个人或实体。术语“责任人”不是指该人员实际上对资产拥有所有权。 

 

适用性声明statement of applicability 

 

描述与组织的信息安全管理体系相关的和适用的控制目标和控制措施的文档。 

 

注：控制目标和控制措施基于风险评估和风险处理过程的结果和结论、法律法规的要求、合同义务以及组织对于信息安全的业务要求。 

 





中泰智联（北京）认证中心有限公司长春分公司专注于ISO9001质量管理体系认证,ISO14001环境管理体系认证,ISO45001职业健康安全管理体系认证,IATF16949认证,GB/T27922售后服务认证,GB/T27925品牌认证,GB/T31950诚信管理体系认证,ISO39001道路交通安全管理体系认证,ISO22301业务连续性管理体系认证,GB/T35770合规管理体系认证等

• 词条

  词条说明

• 安全出口的管理知识

  近几年，吉林、长春等沿海地区频繁发生多起将车间、仓库、宿舍“三合一”，引起火灾，造成群伤群亡的事故。为了吸取事故教训，《安全生产法》*三十四条规定，生产经营场所和员工宿舍应当设立符合紧急疏散要求、标志明显、保持畅通的出口。禁止封闭、堵塞生产经营场所或者员工宿舍的出口。**疏散通道和安全出口畅通、标志明显，是生产经营单位安全管理的重中之重。“疏散通道”是指走道、楼梯、走廊等；“安全出口”是指符合国家

• 申请OHSMS18000组织需要准备哪些资料

   **阶段需要准备以下资料： 有效版本的管理体系文件  营业执照复印件或机构成立批文需要时，  组织的安全生产许可证明 生产工艺流程图或服务提供流程图 组织机构图 适用的法律法规清单  地理位置示意图 厂区平面布置图 生产车间平面布置图 重大危险源清单&nbs

• 环境保护法律法规汇编目录

  1、*人民共和国宪法2、*人民共和国刑法3、*人民共和国环境保护法4、*人民共和国大气污染防治法5、*人民共和国水污染防治法  6、*人民共和国固体废物污染环境防治法7、*人民共和国环境噪声污染防治法8、*人民共和国海洋环境保护法9、*人民共和国能源法10、*人民共和国消防法11、*人民共和国森林法12、*人民共和国土地管理法13、*人民共和国草原法14、*人

• iso9001:2015过程质量审核的目的

   过程质量审核是对影响过程质量的各因素是否按质量控制计划所规定的要求进行控制、控制是否有效、能否适应等进行审查与评价。 过程质量审核的目的，就是通过审核，检查在生产现场是否按质量控制计划规定的措施执行、是否符合标准，评价其有效性，同时发现问题进行改进，以保证过程质量的稳定。 过程质量审核的内容：① 操作者是否具备规定的能力或资格；② 是否按图样、工艺规程和作业指导书进行加工；③ 设备、工