新桥街道DCMM认证审核途径

《ISO14000环境管理体系》由会员分享，可在线阅读，更多相关《ISO14000环境管理体系（48页珍藏版）》请在人人文库网上搜索。 1、ISO14000环境管理体系,序言,经济发展在依赖环境和自然资源支持的同时，又对环境质量产生着不利的影响。20世纪下半叶，人类的发展已经在全球范围内威胁到人类自身的生存环境，突出表现在环境污染、生态恶化及过度浪费造成的资源短缺方面。1992年世界100多个 首脑，聚集在巴西的里约热内卢，召开联合国高峰会议，签署了“二十一世纪行动纲领”，并提出了“可持续发展”模式，开创了环境保护的新时期。,环境具有相对性人类环境形成自然环境与人工环境功能生活环境及生态环境环境的定义影响人类生存和发展的各种天然的和经过人工改造过的自然因素的总体，包括大气、水、海洋、土地、矿藏、森林、草原、野生生物 2、、自然遗迹、人文遗迹、风景名胜区、自然保护区、城市和乡村等。,环境,资源-人类赖以生存和发展的生态过程和支持系统。资源分为有限资源和无限资源有限资源可更新资源：可再生(动植物)、可循环补充(水、土壤)、可更新的不可更新资源：可回收(金属矿物等)、不可回收(石油、天然气等)无限资源：如太阳能、潮汐能、风能、海水、地热等数量丰富稳定且用之不竭的资源,资源,资源,资源-人类赖以生存和发展的生态过程和支持系统。包括：水、气、热等自然物质系统；农业生态系统；森林、草原、淡水、沿海等生态系统；水产资源；陆地野生动植物资源。资源分为有限资源和无限资源有限资源可更新资源：可再生(动植物 3、)、可循环补充(水、土壤)、可更新的不可更新资源：可回收(金属矿物等)、不可回收(石油、天然气等)无限资源：如太阳能、潮汐能、风能、海水、地热等数量丰富稳定且用之不竭的资源对自然环境的污染和破坏，也是对环境资源的消耗，二者具有复合效应,分类环境污染和生态环境破坏消耗型、污染型、破坏型实质经济问题和社会问题,环境问题分类及实质,现在世界上的环境问题,温室效应和气候变化臭氧层破坏酸雨水资源危机海洋污染森林减少耕地资源危机非农业占用、土壤沙化、土壤侵蚀、积水和盐碱化生物多样性减少,城市环境问题水（供水、排水）电（供电、电讯）热（供热、排热）气（供气、排气）路（ 4、道路和交通）环境建设、城市防灾、园林绿化等,现在世界上的环境问题,世界上十大公害事件,比利时马斯河谷事件（1930/12/1-4）日本熊本水俣病事件（1953-1956）美国洛杉矶光化学烟雾事件（1940初）美国多诺拉事件（1948/10/26-31）英国伦敦烟雾事件（1952/12/5-8）日本四日市哮喘病事件（60年代）日本富山疼痛病事件（1955-1972）日本北九州市爱知县米糠油事件（1968/3）印度博帕尔事件（1984/12/3）乌克兰切尔诺贝利核电站污染事件（1984/4/26）,比利时马斯河谷事件1930年12月1日至4日，比利时马斯河谷工业区。工厂排出的 5、气体在近地层积累。据推测，大气中二氧化硫浓度达到每立方米25至100毫克。3天后有人发病，表现为胸痛、咳嗽、呼吸困难，心脏病、肺病患者残废率 。洛杉矶光化学烟雾事件40年代初，美国洛杉矶市的250多万辆汽车共消耗汽油1600万升，向大气层排放大量废气。废气在阳光作用下，形成以臭氧为主的光化学烟雾。,世界上十大公害事件,世界上十大公害事件,多诺拉事件多诺拉事件1948年10月26日至31日，美国宾夕法尼亚州多诺拉镇。该镇处于河谷中，大气污染物在近地层积累，发病者5911人，占全镇人口43%，死亡17人。伦敦烟雾事件伦敦烟雾事件1948年10月5日至8日，英国伦敦市被浓雾覆盖，使燃煤产 6、生的烟雾不断积聚，4天中死亡人数较去年同期多1000人，支气管炎、冠心病、肺结核和心脏衰弱死亡，分别为前一周的9.3倍、2.4倍、5.5倍、2.3倍。,四日市哮喘事件1961年，日本四日市。1955年以来，该市石油冶炼和工业燃油产生的废气严重污染城市空气。1961年哮喘病在四日市发作，1964年出现哮喘病患者死亡，1967年一些患者不堪忍受痛苦而自杀。1972年共确认哮喘患者817人，死亡十多人。水俣病事件1953年至1956年，日本熊本县水俣市。含甲基汞的工业废水污染水体，使鱼中毒，人食毒鱼受害。中毒者283人，其中60人死亡。,世界上十大公害事件,疼痛病事件1955年至1972年， 7、日本富山县神通川城。锌、铅冶炼厂排放的含镉废水污染了河流，灌溉农田后使稻米含镉，居民食后中毒。1963年以前死亡人数不明。1963年到1979年共有130人患病，其中死亡81人。米糠油事件1968年3月，日本北九州市爱知县一带。生产米糠油时多氯联苯混入油中，人食后中毒。16人死亡，受害者1.3万人，并有几十万只鸡死亡。,世界上十大公害事件,博帕尔事件1984年12月3日凌晨，印度博帕尔市郊“联合碳化杀虫剂工厂”45吨异氰酸甲酯气体溢出，造成数百人在睡梦中死亡。一周后，有2500人死亡，15万人接受治疗，重症者有4000多人。这一世界瞩目的惨剧，是工业国的“公害输出”带来的恶果。切尔诺贝 8、利核电站污染事件1986年4月26日清晨，位于乌克兰基辅北面大约130公里的切尔诺贝利核电站反应堆熔化燃烧，保护壳爆裂。当场死亡2人，204人受到辐射损伤。220万人居住区受污染，13.5万人被迫疏散。至1990年初，死亡人数达237人。放射性物质在欧洲上空至少漂游三周。,世界上十大公害事件,解决环境问题的根本途径,控制人口加强教育强化环境管理依靠经济实力和科技进步,我国的环境状况,我国有500多座城市，大气质量达到一级标准的不到1%我国有七亿多人饮用污染超标水我国有三分之二的城市居民生活在噪声超标环境中我国城市生活垃圾年产量1.46亿吨，大部分未经处理随意堆放我国荒漠面积有1 9、53万Km2，每年有2100Km2论为沙漠人均森林面积0.11公顷，为世界平均的10%50年来，约有200种高等植物灭绝，400种野生动物濒临灭绝,我国的环境状况,我国的环境状况,环境管理的需要,立法和执行利益相关方的压力金融机构股东、员工环境利益团体、消费者、公众意识，形象，声誉责任管理公司形象对企业的影响责任、成本、生意中断、负面宣传、形象受损,竞争力产品和生产过程中的环境因素方面的竞争力对意识的影响环境行为的不同标准引起的贸易壁垒财务经济杠杆（税收、罚款）鼓励减少污染政府、银行和保险机构的鼓励支持,环境管理的需要,环境管理的发展历程,1972年：联合国在斯 10、德哥尔摩召开“联合国人类环境大会”1972年：联合国环境署成立（UNEP）1984年：联合国环境与发展委员会（WCED）“我们的共同未来”1987年出版1990年：可持续发展企业理事会（BCSD）“改变的进程”1992年出版1991年：国际商会制定了可持续发展宪章健全的环境管理16项原则,1991年：可持续发展企业理事会与国际标准化组织和IEC接触，讨论建立环境标准。 次ISO会议于1991年8月召开。1992年：联合国环境与发展大会（UNCED）“21世纪议程和里约热内卢宣言”1994年：标准/计划英国标准（BS775）、欧盟计划（EMAS）、国际标准ISO,环境管 11、理的历程,ISO系列标准架构,ISO14000的主要特点,以市场趋向为前提强调法律法规的符合性强调污染强调持续改进强调系统化、程序化的管理和必要的文件支持自愿性可操作性可认证性方法适用性,环境管理标准化应遵循的原则,不增加贸易壁垒可用于对内对外的论证、注册等回避对改善环境无帮助的任何行政干预弹性原则定位于中小型组织总数的80%产品的份额越来越大经济建设中，越来越重要越来越积极参与全球市场受到压力（消费者、政府等）确保认证审核员保持客观性和独立性,已公布的六个文号内容为ISO14001环境管理体系-规范及使用指南ISO14004环境管理体系-原理、 12、体系和支持技术通用指南ISO14010环境管理体系-通用原则ISO14011环境管理体系-审核程序、体系审核ISO14012环境管理体系-环境管理审核员资格ISO14040生命周期评价-原则和指导方针,ISO14000系列标准架构,实施与运行3*结构与责任*培训、意识与能力*信息沟通*文件编制*文件管理*运行控制*应急准备与反应,策划2*环境因素*法律与其它要求*目标与指标*环境管理方案,环境政策方针1,检查与纠正措施4*监测与测量*不符合，纠正与措施*记录*EMS审核,管理评审5,持续改进,环境管理体系模式,手册A层次,EMS 13、程序文件B层次,其他环境文件、表格、报告、作业指导书等C层次,按ISO14001标准描述环境管理体系的环境管理手册,描述实施环境管理体系要素及所涉及到的各职能部门有关活动,详细作业文件,环境管理体系文件结构,环境管理体系要求,环境管理体系要求共包括五大块，17个要素环境方针：两个承诺，一个框架对持续改进和污染的承诺对遵守有关环境法律、法规和组织应遵守的其它要求的承诺提供建立和评审环境目标和指标的框架规划环境因素法律与其他要求目标和指标环境管理方案,实施与运行机构和职责培训、意识与能力信息交流环境管理体系文件编制文件管理运行控制：对具有重大环境影响的活动加以 14、规范应急准备和响应检查和纠正措施监测违章、纠正与措施记录：保存期限一般为两年环境管理体系审核：少一年一次管理评审：少一年一次,环境管理体系要求,ISO14001的基本特征,将尾端污染治理转为全过程的污染控制。强调建立完整的环境管理体系，纳入总体管理。污染必须持续改进提高，不能一劳永逸。处理任何一件事都要讲究程序，做到文件化。以现行环保法规为依据，重在确定环境因素。,环境管理体系咨询程序,企业提出书面申请（并提交有关企业的环境背景资料）初访（实地查看企业的生产现场，了解环境现状）订立咨询合同书，商定工作计划培训（环境管理体系培训、法律法规符合性培训、建立体 15、系的方法培训等）初始环境评审（指导识别环境因素，判定重大环境因素）企业环境管理体系文件编写指导文件修改试运行（企业组织）内部审核指导管理评审指导模拟审核（认证）,如何分析环境因素,选择产品、活动和服务确定活动、产品或服务的环境确定环境影响评价环境影响的重要程序,判定环境因素及其影响,判定环境因素及其影响,三种程度：正常、异常、紧急三种状态：过去、现在、将来七种类型大气排放水体排放废物管理土地污染对社区的影响原材料与自然资源的运用其他地方性环境问题,目标、指标的区别,目标减少有害原料的使用提高员工环境意识减少向环境排污降低能耗减少原材料使用 16、,指标每年减少量为6%一年举办期培训废气排放减少%比去年节能5%每年减少原材料,不符合报告的类型,严重不符合项体系运行出现系统性失效，造成严重的环境危害体系运行出现局域性失效。轻微不符合项对满足EMS文件、要求来说，是个别的、偶然的、孤立的、性质轻微的问题；对保证所审核的区域，体系有效性无害，是次要的。（审核追踪，就近不就远。）,ISO14000与ISO9000的相似点,管理思想-共同贯彻的通过实验建立一套完整的有效的、文件化的管理体系PDCA模式-共同的模式策划-实施-验证-改进ISO9000为闭环系统ISO14000为开放式都是企业管理的一个部分“0 17、1”标准为系列的龙头,ISO14000与ISO900的不同点,产品或服务,消费者,供应商,OVERVIEW,ISO9001质量体系要求由产品消费者或使用者确定,企业活动产品服务,供应商,消费者,各种环境保护组织,邻居,持股者,政府,国际条约,OVERVIEW,14001环境管理体系有众相关个人、企业或团体来要求,有利于贸易壁垒有利于企业守法，达标有利于企业推行清洁生产有助于提高企业管理水平有助于提高员工环境意识有助于提高企业信益，增加市场竞争力减少环境风险，改善公共关系，安定社会,我国实施ISO14000的意义,等同转化GB/T24001GB/T24004GB/T240 18、10GB/T24011GB/T24012自愿原则ISO9000及ISO14000工作委员会相互协调充分依靠各部门和地方的积极性实行全过程管理标准的转化，宣贯、审核、认证、注册、监督管理质量及环境管理认证彼此尽力结合先试点，再稳步推广的原则,我国执行ISO14000的原则,提供完善的管理体系强调环境因素管理建立严格控制程序，保障目标指标实现生命周期分析和环境行为评价。则将产品的设计及企业的决策纳入管理范畴,ISO14000体系的污染,节省资源降低成本，减少污染改善环境符合政府法规周围群众满意增强市场竞争力提高企业形象扩大知名度迈向国际接轨,ISO1400 19、0体系对企业的作用,承认环境管理是关系到企业自身利益的重要工作建立并保持与内、外部相关的信息系统确定与企业的活动、产品或服务有关的法律法规的要求和环境因素明确环境保护的责任并使管理者做出承诺贯彻生命周期思想，推动方案的实施制定一个实施环境行为的目标程序对照方针目标、指标，评价环境行为并予以改进提供充分的资源建立一个审核促进EMS的管理程序，不断完善EMS力图对相关方施加影响，鼓励合同方、供应商建立EMS,建立EMS应遵守的原则,节省资源降低成本，减少污染改善环境符合政府法规周围群众满意增强市场竞争力提高企业形象扩大知名度迈向国际接轨A,ISO14000为企业带来什么？,建立EMS应注意的问题,以污染为主法律法规符合性要满足相关方的需求全过程控制不断改善环境行为,企业如何评价EMS,企业建立的环境管理体系符合ISO14001标准要求并得到正确实施相关环境法律法规和其他要求在企业中严格遵守重要环境因素得到有效控制，环境行为得到明显改善员工的环境意识普遍提高,保护环境,珍惜生命,

ISO27001认证控制要求 文章导读：表 A.1 控制目标和控制措施 A.5 方针 A.5.1 信息方针 目标：依据业务要求和相关法律法规提供管理指导并支 持信息。 A.5.1.1 信 息 方针 文件 信 息 方针 的评审 控制... 表 A.1 控制目标和控制措施 A.5 方针 A.5.1 信息方针 目标：依据业务要求和相关法律法规提供管理指导并支持信息。 A.5.1.1 信 息 方针 文件 信 息 方针 的评审 控制措施 信息方针文件应由管理者批准、发布并传达给所有员工和外部相 关方。 A.5.1.2 控制措施 应按计划的时间间隔或当重大变化发生时进行信息方针评审，以 确保它持续的适宜性、充分性和有效性。 A.6 信息组织 A.6.1 内部组织 目标：在组织内管理信息 A.6.1.1 信息的管 理承诺 信息协调 控制措施 管理者应通过清晰的说明、可证实的承诺、明确的信息职责分配 及确认，来积极支持组织内的。 A.6.1.2 控制措施 信息活动应由来自组织不同部门并具备相关角色和工作职责的 代表进行协调。 A.6.1.3 A.6.1.4 A.6.1.5 信息职责 的分配 信息处理设施 的授权过程 保密性协议 控制措施 所有的信息职责应予以清晰地定义。 控制措施 新信息处理设施应定义和实施一个管理授权过程。 控制措施 应识别并定期评审反映组织信息保护需要的保密性或不泄露协议的 要求。 A.6.1.6 A.6.1.7 A.6.1.8 与政府部门的 联系 与特定利益团 体的联系 信息的独 立评审 控制措施 应保持与政府相关部门的适当联系。 控制措施 应保持与特定利益团体、其他专家组和专业协会的适当联系。 控制措施 组织管理信息的方法及其实施（例如信息的控制目标、控制 措施、策略、过程和程序）应按计划的时间间隔进行独立评审， 当安 全实施发生重大变化时，也要进行独立评审。 A.6.2 外部各方 目标：保持组织的被外部各方访问、处理、管理或与外部进行通信的信息和信息处理设施的。 A.6.2.1 与外部 各方相 关风险的识别 处理与顾客有 关的问题 控制措施 应识别涉及外部各方业务过程中组织的信息和信息处理设施的风险， 并在允许访问前实施适当的控制措施。 A.6.2.2 控制措施 应在允许顾客访问组织信息或资产之前处理所有确定的要求。 A.6.2.3 处理第三方协 议中的问 题 控制措施 涉及访问、处理或管理组织的信息或信息处理设施以及与之通信的第 三方协议，或在信息处理设施中增加产品或服务的第三方协议， 应涵 盖所有相关的要求。 A.7 资产管理 A.7.1 对资产负责 目标：实现和保持对组织资产的适当保护。 A.7.1.1 A.7.1.2 资产清单 资产责任人 控制措施 应清晰的识别所有资产，编制并维护所有重要资产的清单。 控制措施 与信息处理设施有关的所有信息和资产应由组织的指定部门或人员 1 承担责任 。 A.7.1.3 资 产 的 合 格 使 控制措施 用 与信息处理设施有关的信息和资产使用允许规则应被确定、形成文件 并加以实施。 A.7.2 信息分类 目标：确保信息受到适当级别的保护。 A.7.2.1 A.7.2.2 分类指南 信息的标记和 处理 控制措施 信息应按照它对组织的价值、法律要求、敏感性和关键性予以分类。 控制措施 应按照组织所采纳的分类机制建立和实施一组合适的信息标记和处 理程序。 A.8 人力资源 2 A.8.1 任用 之前 目标：确保雇员、承包方人员和第三方人员理解其职责、考虑对其承担的角色是适合的，以降 低设 施被窃、欺诈和误用的风险。 A.8.1.1 角色和职责 控制措施 雇员、承包方人员和第三方人员的角色和职责应按照组织的信息 方针定义并形成文件。 A.8.1.2 审查 控制措施 关于所有任用的候选者、承包方人员和第三方人员的背景验证检查应 按照相关法律法规、道德规范和对应的业务要求、被访问信息的 类别 和察觉的风险来执行。 A.8.1.3 任用条款和条 件 控制措施 作为他们合同义务的一部分，雇员、承包方人员和第三方人员应同意 并签署他们的任用合同的条款和条件，这些条款和条件要声明他 们和 组织的信息职责。 A.8.2 任用中 目标：确保所有的雇员、承包方人员和第三方人员知悉信息威胁和利害关系、他们的职责和义 务、并准备好在其 正常工作过程中支持组织的方针，以减少人为过失的风险。 1 解释：术语“责任人”是被认可，具有控制生产、开发、保持、使用和资产的个人或实体。术语“责 任人”不指实际上对资产具 有财产权的人。 2 解释：这里的“任用”意指以下不同的情形：人员任用（暂时的或长期的） 、工作角色的指定、工作角色 的变化 、合同的分配及所有这些安排的终止。 A.8.2.1 管理职责 控制措施 管理者应要求雇员、承包方人员和第三方人员按照组织已建立的方针 策略和程序对尽心尽力。 A.8.2.2 信息意识、 控制措施 教育和培训 组织的所有雇员，适当时，包括承包方人员和第三方人员，应受到与 其工作职能相关的适当 的意识培训和组织方针策略及程序的定期更 新培训。 纪律处理过程 A.8.2.3 控制措施 对于违规的雇员，应有一个正式的纪律处理过程。 A.8.3 任用的终止或变化 目标：确保雇员、承包方人员和第三方人员以一个规范的方式退出一个组织或改变其任用关系。 A.8.3.1 A.8.3.2 终止职责 资产的归还 控制措施 任用终止或任用变化的职责应清晰的定义和分配。 控制措施 所有的雇员、承包方人员和第三方人员在终止任用、合同或协议时， 应归还他们使用的所有组织资产。 A.8.3.3 撤销访问权 控制措施 所有雇员、承包方人员和第三方人员对信息和信息处理设施的访问权 应在任用、合同或协议终止时删除，或在变化时调整。 A.9 物理和环境 A.9.1 区域 目标：防止对组织场所和信息的未授权物理访问、损坏和干扰。 A.9.1.1 物理边界 控制措施 应使用边界 （诸如墙、 卡控制的入口或有人管理的接待台等屏障） 来保护包含信息和信息处理设施的区域。 A.9.1.2 物理入口控制 控制措施 区域应由适合的入口控制所保护，以确保只有授权的人员才允许 访问。 A.9.1.3 办公室、 房间和 控制措施 设 施 的 安 全 保 应为办公室、房间和设施设计并采取物理措施。 护 外部和环境威 胁的防 护 在区域工 作 A.9.1.4 控制措施 为防止火灾、洪水、地震、爆炸、社会动荡和其他形式的自然或人为 灾难引起的破坏，应设计和采取物理保护措施。 A.9.1.5 A.9.1.6 控制措施 应设计和运用用于区域工作的物理保护和指南。 公共访问、 交接 控制措施 区 访问点（例如交接区）和未授权人员可进入办公场所的其他点应加以 控制，如果可能，要与信息 处理设施隔离，以避免未授权访问。 A.9.2 设备 目标：防止资产的丢失、损坏、失窃或危及资产以及组织活动的中断。 A.9.2.1 设备安置和保 护 控制措施 应安置或保护设备，以减少由环境威胁和危险所造成的各种风险以及 未授权访问的机会。 A.9.2.2 支持性设施 控制措施 应保护设备使其免于由支持性设施的失效而引起的电源故障和其他 中断。 A.9.2.3 布缆 控制措施 应保证传输数据或支持信息服务的电源布缆和通信布缆免受窃听或 损坏。 A.9.2.4 A.9.2.5 设备维护 控制措施 设备应予以正确地维护，以确保其持续的可用性和完整性。 组 织 场 所 外 的 控制措施 设备 应对组织场所的设备采取措施，要考虑工作在组织场所以外的不 同风险。 设备的 处 置或再利用 资产的移动 A.9.2.6 控制措施 包含储存介质的设备的所有项目应进行检查，以确保在销毁之前，任 何敏感信息和注册软件已被删除或重写。 A.9.2.7 控制措施 设备、信息或软件在授权之前不应带出组织场所。 A.10 通信和操作管理 A.10.1 操作程序和职责 目标：确保正确、的操作信息处理设施。 A.10.1.1 A.10.1.2 A.10.1.3 文件化 的操作 程序 变更管理 责任分割 控制措施 操作程序应形成文件、保持并对所有需要的用户可用。 控制措施 对信息处理设施和系统的变更应加以控制。 控制措施 各类责任及职责范围应加以分割，以降低未授权或无意识的修改或者 不当使用组织资产的机会。 A.10.1.4 开发、测试和 运行设施分离 控制措施 开发、测试和运行设施应分离，以减少未授权访问或改变运行系统的 风险。 A.10.2 第三方服务交付管理 目标：实施和保持符合第三方服务交付协议的信息和服务交付的适当水准。 A.10.2.1 服务交付 控制措施 应确保第三方实施、运行和保持包含在第三方服务交付协议中的 控制措施、服务定义和交付水准。 A.10.2.2 第三方服务的 监视和评审 第三方服务的 变更管理 控制措施 应定期监视和评审由第三方提供的服务、报告和记录，审核也应定期 执行。 A.10.2.3 控制措施 应管理服务提供的变更，包括保持和改进现有的信息方针策略、 程序和控制措施，要考虑业务系统和涉及过程的关键程度及风险 的再 评估。 A.10.3 系统规划和验收 目标：将系统失效的风险降至小。 A.10.3.1 容量管理 控制措施 资源的使用应加以监视、调整，并应作出对于未来容量要求的预测， 以确保拥有所需的系统性能。 A.10.3.2 系统验收 控制措施 应建立对新信息系统、升级及新版本的验收准则，并且在开发中和验 收前对系统进行适当的测试。 A.10.4 防范恶意和移动代码 目标：保护软件和信息的完整性。 A.10.4.1 控制恶意代码 控制措施 应实施恶意代码的监测、和恢复的控制措施，以及适当的提高用 户意识的程序。 A.10.4.2 控制移动代码 控制措施 当授权使用移动代码时，其配置应确保授权的移动代码按照清晰定义 的策略运行，应阻止执行未授权的移动代码。 A.10.5 备份 目标：保持信息和信息处理设施的完整性及可用性。 A.10.5.1 信息备份 控制措施 应按照已设的备份策略，定期备份和测试信息和软件。 A.10.6 网络管理 目标：确保网络中信息的性并保护支持性的基础设 施。 A.10.6.1 网络控制 控制措施 应充分管理和控制网络，以防止威胁的发生，维护系统和使用网络的 应用程序的，包括传输中的信息。 A.10.6.2 网络服务的安 全 控制措施 特性、服务级别以及所有网络服务的管理要求应予以确定并包括 在所有网络服务协议中，无论这些服务是由内部提供的还是外包 的。 A.10.7 介质处置 目标：防止资产遭受未授权泄露、修改、移动或销毁以及业务活动的中断。 A.10.7.1 A.10.7.2 A.10.7.3 可移动 介质的 管理 介质的处置 信息处理程序 控制措施 应有适当的可移动介质的管理程序。 控制措施 不再需要的介质，应使用正式的程序可靠并地处置。 控制措施 应建立信息的处理及存储程序，以防止信息的未授权的泄漏或不当使 用。 A.10.7.4 系统文件 控制措施 应保护系统文件以防止未授权的访问。 A.10.8 信息的交换 目标：保持组织内信息和软件交换及与外部组织信息和软件交换的。 A.10.8.1 信息交换策略 和程序 控制措施 应有正式的交换策略、程序和控制措施，以保护通过使用各种类型通 信设施的信息交换。 A.10.8.2 A.10.8.3 交换协议 运输中的物理 介质 电子消息发送 业务信息系统 控制措施 应建立组织与外部团体交换信息和软件的协议。 控制措施 包含信息的介质在组织的物理边界以外运送时，应防止未授权的访 问、不当使用或毁坏。 A.10.8.4 A.10.8.5 控制措施 包含在电子消息发送中的信息应给予适当的保护。 控制措施 应建立并实施策略和程序，以保护与业务信息系统互联相关的信息。 A.10.9 电子商务服务 目标：确保电子商务服务的及其使用。 A.10.9.1 电子商务 控制措施 包含在使用公共网络的电子商务中的信息应受保护，以防止欺诈活 动、合同争议和未授权的泄露和修改。 A.10.9.2 在线交易 控制措施 包含在在线交易中的信息应受保护，以防止不完全传输、错误路由、 未授权的消息篡改、未授权的泄露、未授权的消息复制或重放。 A.10.9.3 公共可用信息 控制措施 在公共可用系统中可用信息的完整性应受保护，以防止未授权的修 改。 A.10.10 监视 目标：检测未经授权的信息处理活动。 A.10.10.1 审核日志 控制措施 应产生记录用户活动、异常和信息事态的审核日志，并要保持一 个已设的周期以支持将来的调查和访问控制监视。 A.10.10.2 A.10.10.3 监视系统的使 用 日志信息的保 护 管理员和操作 员日志 故障日志 时钟同步 控制措施 应建立信息处理设施的监视使用程序，监视活动的结果要经常评审。 控制措施 记录日志的设施和日志信息应加以保护，以防止篡改和未授权的访 问。 A.10.10.4 A.10.10.5 A.10.10.6 控制措施 系统管理员和系统操作员活动应记入日志。 控制措施 故障应被记录、分析，并采取适当的措施。 控制措施 一个组织或域内的所有相关信息处理设施的时钟应使用已设的 时间源进行同步。 A.11 访问控制 A.11.1 访问控制的业务要求 目标：控制对信息的访问。 A.11.1.1 访问控制策略 控制措施 访问控制策略应建立、形成文件，并基于业务和访问的要求进行 评审。 A.11.2 用户访问管理 目标：确保授权用户访问信息系统，并防止未授权的访问。 A.11.2.1 用户注册 控制措施 应有正式的用户注册及注销程序，来授权和撤销对所有信息系统及服 务的访问。 A.11.2.2 A.11.2.3 A.11.2.4 特殊权限管理 用户口令管理 用户访问权的 复查 控制措施 应限制和控制特殊权限的分配及使用。 控制措施 应通过正式的管理过程控制口令的分配。 控制措施 管理者应定期使用正式过程对用户的访问权进行复查。 A.11.3 用户职责 目标：防止未授权用户对信息和信息处理设施的访问、危害或窃取。 A.11.3.1 A.11.3.2 A.11.3.3 口令使用 无人 值守的用 户设备 清空桌面和屏 幕策略 控制措施 应要求用户在选择及使用口令时，遵循良好的习惯。 控制措施 用户应确保无人值守的用户设备有适当的保护。 控制措施 应采取清空桌面上文件、可移动存储介质的策略和清空信息处理设施 屏幕的策略。 A.11.4 网络访问控制 目标：防止对网络服务的未授权访问。 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 使用网络 服务 的策略 外部连接的用 户鉴别 网络上的设备 标识 远程诊断和配 置端口的保护 网络隔离 网络连接控制 控制措施 用户应仅能访问已获专门授权使用的服务。 控制措施 应使用适当的鉴别方法以控制远程用户的访问。 控制措施 应考虑自动设备标识，将其作为鉴别特定位置和设备连接的方法。 控制措施 对于诊断和配置端口的物理和逻辑访问应加以控制。 控制措施 应在网络中隔离信息服务、用户及信息系统。 控制措施 对于共享的网络，特别是越过组织边界的网络，用户的联网能力应按 照访问控制策略和业务应用要求加以限制（见 11.1）。 A.11.4.7 网络路由控制 控制措施 应在网络中实施路由控制，以确保计算机连接和信息流不违反业务应 用的访问控制策略。 A.11.5 操作系统访问控制 目标：防止对操作系统的未授权访问。 A.11.5.1 A.11.5.2 登录程序 用户标识和鉴 别 控制措施 访问操作系统应通过登录程序加以控制。 控制措施 所有用户应有 的、 其个人使用的标识符（用户 ID），应选择 一种适当的鉴别技术证实用户所宣称的身份。 A.11.5.3 A.11.5.4 口令管理系统 系统实用工具 的使用 会话超时 联机时间的限 定 控制措施 口令管理系统应是交互式的，并应确保优质的口令。 控制措施 可能超越系统和应用程序控制的实用工具的使用应加以限制并严格 控制。 A.11.5.5 A.11.5.6 控制措施 不活动会话应在一个设定的休止期后关闭。 控制措施 应使用联机时间的限制，为高风险应用程序提供额外的。 A.11.6 应用和信息访问控制 目标：防止对应用系统中信息的未授权访问。 A.11.6.1 信息访问限制 控制措施 用户和支持人员对信息和应用系统功能的访问应依照已确定的访问 控制策略加以限制。 A.11.6.2 敏感系统隔离 控制措施 敏感系统应有专用的（隔离的）运算环境。 A.11.7 移动计算和远程工作 目标：确保使用可移动计算和远程工作设施时的信息。 A.11.7.1 移动计算和通 信 远程工作 控制措施 应有正式策略并且采用适当的措施，以防范使用移动计算和通信 设施时所造成的风险。 A.11.7.2 控制措施 应为远程工作活动开发和实施策略、操作计划和程序。 A.12 信息系统获取、开发和维护 A.12.1 信息系统的要求 目标：确保是信息系统的一个有机组成部分。 A.12.1.1 要 求分析 和说明 控制措施 在新的信息系统或增强已有信息系统的业务要求陈述中，应规定对安 全控制措施的要求。 A.12.2 应用中的正确处理 目标：防止应用系统中的信息的错误、遗失、未授权的修改及误用。 A.12.2.1 A.12.2.2 输入数据验证 内部处理的控 制 消息完整性 控制措施 输入应用系统的数据应加以验证，以确保数据是正确且恰当的。 控制措施 验证检查应整合到应用中，以检查由于处理的错误或故意的行为造成 的信息的讹误。 A.12.2.3 控制措施 应用中的确保真实性和保护消息完整性的要求应得到识别，适当的控 制措施也应得到识别并实施。 A.12.2.4 输出数据验证 控制措施 从应用系统输出的数据应加以验证，以确保对所存储信息的处理是正 确的且适于环境的。 A.12.3 密码控制 目标：通过密码方法保护信息的保密性、真实性或完整性。 A.12.3.1 A.12.3.2 使用密码控制 的策略 密钥管理 控制措施 应开发和实施使用密码控制措施来保护信息的策略。 控制措施 应有密钥管理以支持组织使用密码技术。 A.12.4 系统文件的 目标：确保系统文件的 A.12.4.1 A.12.4.2 A.12.4.3 运行软件的控 制 系统测试数据 的保护 控制措施 应有程序来控制在运行系统上安装软件。 控制措施 测试数据应认真地加以选择、保护和控制。 对 程 序 源 代 码 控制措施 的访问控制 应限制访问程序源代码。 A.12.5 开发和支持过程中的 目标：维护应用系统软件和信 息的。 A.12.5.1 变更控制程序 控制措施 应使用正式的变更控制程序控制变更的实施。 A.12.5.2 操作系统变更 后应用的技术 评审 软件包变更的 限制 信息泄露 外包软件开发 控制措施 当操作系统发生变更后，应对业务的关键应用进行评审和测试，以确 保对组织的运行和没有负面影响。 A.12.5.3 控制措施 应对软件包的修改进行劝阻，限制必要的变更，且对所有的变更加以 严格控制。 A.12.5.4 A.12.5.5 控制措施 应防止信息泄露的可能性。 控制措施 组织应管理和监视外包软件的开发。 A.12.6 技术脆弱性管理 目标：降低利用公布的技术脆弱性导致的风险。 A.12.6.1 技 术 脆 弱 性 的 控制措施 应及时得到现用信 息系统技术脆弱性的信息，评价组织对这些脆弱性 控制 的暴露程度，并采取适当的措施来处理相关的风险。 A.13 信息事件管 理 A.13.1 报告信息事态和弱点 目标：确保与信息系统有关的信息事态和弱点能够以某种方式传达，以便及时采取纠正措施 。 A.13.1.1 A.13.1.2 报告信息 事态 报告弱点 控制措施 信息事态应该尽可能快地通过适当的管理渠道进行报告。 控制措施 应要求信息系统和服务的所有雇员、承包方人员和第三方人员记录并 报告他们观察到的或怀疑的任何系统或服务的弱点。 A.13.2 信息事件和改进的管理 目标：确保采用一致和有效的方法对信息事件进行管理。 A.13.2.1 职责和程序 控制措施 应建立管理职责和程序，以确保能对信息事件做出快速、有效和 有序的响应。 A.13.2.2 A.13.2.3 对信息事 件的总结 证据的收集 控制措施 应有一套机制量化和监视信息事件的类型、数量和代价。 控制措施 当一个信息事件涉及到诉讼（民事的或刑事的），需要进一步对 个人或组织进行起诉时，应收集、保留和呈递证据，以使证据符 合相 关诉讼管辖权。 A.14 业务连续性管理 A.14.1 业务连续性管理的信息方面 目标：防止业务活动中断，保护关键业务过程免受信息系统重大失误 或灾难的影响，并确保它们的 及时恢复。 A.14.1.1 业务连续性管 理过程中包含 的信息 业务连续性和 风险评估 制定和实施 包 含信息的 连续性计划 业务连续性计 划框架 测试、维护和 再评估业务连 续性计划 控制措施 应为贯穿于组织的业务连续性开发和保持一个管理过程，以解决组织 的业务连续性所需的信息要求。 A.14.1.2 控制措施 应识别能引起业务过程中断的事态，这种中断发生的概率和影响，以 及它们对信息所造成的后果。 A.14.1.3 控制措施 应制定和实施计划来保持或恢复运行，以在关键业务过程中断或失败 后能够在要求的水平和时间内确保信息的可用性。 A.14.1.4 控制措施 应保持一个 的业务连续性计划框架，以确保所有计划是一致的， 能够协调地解决信息要求，并为测试和维护确定优先级。 A.14.1.5 控制措施 业务连续性计划应定期测试和更新，以确保其及时性和有效性。 A.15 符合性 A.15.1 符合法律要求 目标：避免违反任何法律、法令、法规或合同义务，以及任何要求。 A.15.1.1 可用法律的 识 别 控制措施 对每一个信息系统和组织而言，所有相关的法令、法规和合同要求， 以及为满足这些要求组织所采用的方法，应加以明确地定义、形 成文 件并保持更新。 A.15.1.2 知 识 产 权 （IPR） 保护组织的记 录 数据保护和个 人信息的隐私 控制措施 应实施适当的程序，以确保在使用具有知识产权的材料和具有所有权 的软件产品时，符合法律、法规和合同的要求。 A.15.1.3 控制措施 应防止重要的记录遗失、毁坏和伪造，以满足法令、法规、合同和业 务的要求。 A.15.1.4 控制措施 应依照相关的法律、法规和合同条款的要求，确保数据保护和隐私。 A.15.1.5 A.15.1.6 防止滥用信息 处理设施 密码控制措施 的规则 控制措施 应禁止用户使用信息处理设施用于未授权的目的。 控制措施 使用密码控制措施应遵从相关的协议、法律和法规。 A.15.2 符合策略和标准以及技术符合性 目标：确保系统符合组织的策略及标准。 A.15.2.1 符合策略 和标准 技术符 合性检 查 控制措施 管理人员应确保在其职责范围内的所有程序被正确地执行，以确 保符合策略及标准。 A.15.2.2 控制措施 信息系统应被定期检查是否符合实施标准。 A.15.3 信息系统审核考虑 目标：将信息系统审核过程的有效性 化，干扰小化。 A.15.3.1 信息系统审核 控制措施 信息系统 审核 工具的保护 控 制措施 涉及对运行系统检查的审核要求和活动，应谨慎地加以规划并取得批 准，以便小化造成业务过程中断的风险。 A.15.3.2 控制措施 对于信息系统审核工具的访问应加以保护，以防止任何可能的滥用或 损害。

中国要发展中国特色的社会主义，城市建设和管理要向国际的城市看齐，这 就对城市管理提出了更高标杆要求。国际化是中国城市建设和市政管理的发展方向，满足城市发展的需求，满足甚至超越广大市民对 城市管理日益要求，促使我们城市管理工作终必须与国际运行模式接轨。然而，目前我们的城市管理精细化、规范化、标准化 程度还不够高，多停留在经验型管理的阶段，依赖执法人员个人的力量来监管，造成城市管理权责关系不明确、执法效果难界定、工 作效率不稳定等现象。尽管城管执法人员尽职尽责，但仍不能满足法律法规要求，无法适应城市国际化发展，甚至得不到百姓理解。 打造政府干部队伍质素，不断提高城市管理整体水平，服务于广大市民的意识，ISO认证成为城市管理当务之急。 如何能够使城市管理工作进一步深，并建立在科学发展的基础上，更 好的服务于城市发展的要求，我国各地政府一直以都在努力探索，寻找突破口。瞄准世界先进水平，建立ISO9000服务质量 管理体系标准，不断创新管理机制，政府部门的服务意识，成为许多城府打造服务型组织首先标准。它集合了世界上进 管理理念和经验。