ISO27001認(rèn)證控制要求 文章導(dǎo)讀：表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支 持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評審 控制... 表 A.1 控制目標(biāo)和控制措施 A.5 方針 A.5.1 信息方針 目標(biāo)：依據(jù)業(yè)務(wù)要求和相關(guān)法律法規(guī)提供管理指導(dǎo)并支持信息。 A.5.1.1 信 息 方針 文件 信 息 方針 的評審 控制措施 信息方針文件應(yīng)由管理者批準(zhǔn)、發(fā)布并傳達(dá)給所有員工和外部相 關(guān)方。 A.5.1.2 控制措施 應(yīng)按計(jì)劃的時(shí)間間隔或當(dāng)重大變化發(fā)生時(shí)進(jìn)行信息方針評審，以 確保它持續(xù)的適宜性、充分性和有效性。 A.6 信息組織 A.6.1 內(nèi)部組織 目標(biāo)：在組織內(nèi)管理信息 A.6.1.1 信息的管 理承諾 信息協(xié)調(diào) 控制措施 管理者應(yīng)通過清晰的說明、可證實(shí)的承諾、明確的信息職責(zé)分配 及確認(rèn)，來積極支持組織內(nèi)的。 A.6.1.2 控制措施 信息活動(dòng)應(yīng)由來自組織不同部門并具備相關(guān)角色和工作職責(zé)的 代表進(jìn)行協(xié)調(diào)。 A.6.1.3 A.6.1.4 A.6.1.5 信息職責(zé) 的分配 信息處理設(shè)施 的授權(quán)過程 保密性協(xié)議 控制措施 所有的信息職責(zé)應(yīng)予以清晰地定義。 控制措施 新信息處理設(shè)施應(yīng)定義和實(shí)施一個(gè)管理授權(quán)過程。 控制措施 應(yīng)識別并定期評審反映組織信息保護(hù)需要的保密性或不泄露協(xié)議的 要求。 A.6.1.6 A.6.1.7 A.6.1.8 與政府部門的 聯(lián)系 與特定利益團(tuán) 體的聯(lián)系 信息的獨(dú) 立評審 控制措施 應(yīng)保持與政府相關(guān)部門的適當(dāng)聯(lián)系。 控制措施 應(yīng)保持與特定利益團(tuán)體、其他專家組和專業(yè)協(xié)會(huì)的適當(dāng)聯(lián)系。 控制措施 組織管理信息的方法及其實(shí)施（例如信息的控制目標(biāo)、控制 措施、策略、過程和程序）應(yīng)按計(jì)劃的時(shí)間間隔進(jìn)行獨(dú)立評審， 當(dāng)安 全實(shí)施發(fā)生重大變化時(shí)，也要進(jìn)行獨(dú)立評審。 A.6.2 外部各方 目標(biāo)：保持組織的被外部各方訪問、處理、管理或與外部進(jìn)行通信的信息和信息處理設(shè)施的。 A.6.2.1 與外部 各方相 關(guān)風(fēng)險(xiǎn)的識別 處理與顧客有 關(guān)的問題 控制措施 應(yīng)識別涉及外部各方業(yè)務(wù)過程中組織的信息和信息處理設(shè)施的風(fēng)險(xiǎn)， 并在允許訪問前實(shí)施適當(dāng)?shù)目刂拼胧? A.6.2.2 控制措施 應(yīng)在允許顧客訪問組織信息或資產(chǎn)之前處理所有確定的要求。 A.6.2.3 處理第三方協(xié) 議中的問 題 控制措施 涉及訪問、處理或管理組織的信息或信息處理設(shè)施以及與之通信的第 三方協(xié)議，或在信息處理設(shè)施中增加產(chǎn)品或服務(wù)的第三方協(xié)議， 應(yīng)涵 蓋所有相關(guān)的要求。 A.7 資產(chǎn)管理 A.7.1 對資產(chǎn)負(fù)責(zé) 目標(biāo)：實(shí)現(xiàn)和保持對組織資產(chǎn)的適當(dāng)保護(hù)。 A.7.1.1 A.7.1.2 資產(chǎn)清單 資產(chǎn)責(zé)任人 控制措施 應(yīng)清晰的識別所有資產(chǎn)，編制并維護(hù)所有重要資產(chǎn)的清單。 控制措施 與信息處理設(shè)施有關(guān)的所有信息和資產(chǎn)應(yīng)由組織的指定部門或人員 1 承擔(dān)責(zé)任 。 A.7.1.3 資 產(chǎn) 的 合 格 使 控制措施 用 與信息處理設(shè)施有關(guān)的信息和資產(chǎn)使用允許規(guī)則應(yīng)被確定、形成文件 并加以實(shí)施。 A.7.2 信息分類 目標(biāo)：確保信息受到適當(dāng)級別的保護(hù)。 A.7.2.1 A.7.2.2 分類指南 信息的標(biāo)記和 處理 控制措施 信息應(yīng)按照它對組織的價(jià)值、法律要求、敏感性和關(guān)鍵性予以分類。 控制措施 應(yīng)按照組織所采納的分類機(jī)制建立和實(shí)施一組合適的信息標(biāo)記和處 理程序。 A.8 人力資源 2 A.8.1 任用 之前 目標(biāo)：確保雇員、承包方人員和第三方人員理解其職責(zé)、考慮對其承擔(dān)的角色是適合的，以降 低設(shè) 施被竊、欺詐和誤用的風(fēng)險(xiǎn)。 A.8.1.1 角色和職責(zé) 控制措施 雇員、承包方人員和第三方人員的角色和職責(zé)應(yīng)按照組織的信息 方針定義并形成文件。 A.8.1.2 審查 控制措施 關(guān)于所有任用的候選者、承包方人員和第三方人員的背景驗(yàn)證檢查應(yīng) 按照相關(guān)法律法規(guī)、道德規(guī)范和對應(yīng)的業(yè)務(wù)要求、被訪問信息的 類別 和察覺的風(fēng)險(xiǎn)來執(zhí)行。 A.8.1.3 任用條款和條 件 控制措施 作為他們合同義務(wù)的一部分，雇員、承包方人員和第三方人員應(yīng)同意 并簽署他們的任用合同的條款和條件，這些條款和條件要聲明他 們和 組織的信息職責(zé)。 A.8.2 任用中 目標(biāo)：確保所有的雇員、承包方人員和第三方人員知悉信息威脅和利害關(guān)系、他們的職責(zé)和義 務(wù)、并準(zhǔn)備好在其 正常工作過程中支持組織的方針，以減少人為過失的風(fēng)險(xiǎn)。 1 解釋：術(shù)語“責(zé)任人”是被認(rèn)可，具有控制生產(chǎn)、開發(fā)、保持、使用和資產(chǎn)的個(gè)人或?qū)嶓w。術(shù)語“責(zé) 任人”不指實(shí)際上對資產(chǎn)具 有財(cái)產(chǎn)權(quán)的人。 2 解釋：這里的“任用”意指以下不同的情形：人員任用（暫時(shí)的或長期的） 、工作角色的指定、工作角色 的變化 、合同的分配及所有這些安排的終止。 A.8.2.1 管理職責(zé) 控制措施 管理者應(yīng)要求雇員、承包方人員和第三方人員按照組織已建立的方針 策略和程序?qū)ΡM心盡力。 A.8.2.2 信息意識、 控制措施 教育和培訓(xùn) 組織的所有雇員，適當(dāng)時(shí)，包括承包方人員和第三方人員，應(yīng)受到與 其工作職能相關(guān)的適當(dāng) 的意識培訓(xùn)和組織方針策略及程序的定期更 新培訓(xùn)。 紀(jì)律處理過程 A.8.2.3 控制措施 對于違規(guī)的雇員，應(yīng)有一個(gè)正式的紀(jì)律處理過程。 A.8.3 任用的終止或變化 目標(biāo)：確保雇員、承包方人員和第三方人員以一個(gè)規(guī)范的方式退出一個(gè)組織或改變其任用關(guān)系。 A.8.3.1 A.8.3.2 終止職責(zé) 資產(chǎn)的歸還 控制措施 任用終止或任用變化的職責(zé)應(yīng)清晰的定義和分配。 控制措施 所有的雇員、承包方人員和第三方人員在終止任用、合同或協(xié)議時(shí)， 應(yīng)歸還他們使用的所有組織資產(chǎn)。 A.8.3.3 撤銷訪問權(quán) 控制措施 所有雇員、承包方人員和第三方人員對信息和信息處理設(shè)施的訪問權(quán) 應(yīng)在任用、合同或協(xié)議終止時(shí)刪除，或在變化時(shí)調(diào)整。 A.9 物理和環(huán)境 A.9.1 區(qū)域 目標(biāo)：防止對組織場所和信息的未授權(quán)物理訪問、損壞和干擾。 A.9.1.1 物理邊界 控制措施 應(yīng)使用邊界 （諸如墻、 卡控制的入口或有人管理的接待臺等屏障） 來保護(hù)包含信息和信息處理設(shè)施的區(qū)域。 A.9.1.2 物理入口控制 控制措施 區(qū)域應(yīng)由適合的入口控制所保護(hù)，以確保只有授權(quán)的人員才允許 訪問。 A.9.1.3 辦公室、 房間和 控制措施 設(shè) 施 的 安 全 保 應(yīng)為辦公室、房間和設(shè)施設(shè)計(jì)并采取物理措施。 護(hù) 外部和環(huán)境威 脅的防 護(hù) 在區(qū)域工 作 A.9.1.4 控制措施 為防止火災(zāi)、洪水、地震、爆炸、社會(huì)動(dòng)蕩和其他形式的自然或人為 災(zāi)難引起的破壞，應(yīng)設(shè)計(jì)和采取物理保護(hù)措施。 A.9.1.5 A.9.1.6 控制措施 應(yīng)設(shè)計(jì)和運(yùn)用用于區(qū)域工作的物理保護(hù)和指南。 公共訪問、 交接 控制措施 區(qū) 訪問點(diǎn)（例如交接區(qū)）和未授權(quán)人員可進(jìn)入辦公場所的其他點(diǎn)應(yīng)加以 控制，如果可能，要與信息 處理設(shè)施隔離，以避免未授權(quán)訪問。 A.9.2 設(shè)備 目標(biāo)：防止資產(chǎn)的丟失、損壞、失竊或危及資產(chǎn)以及組織活動(dòng)的中斷。 A.9.2.1 設(shè)備安置和保 護(hù) 控制措施 應(yīng)安置或保護(hù)設(shè)備，以減少由環(huán)境威脅和危險(xiǎn)所造成的各種風(fēng)險(xiǎn)以及 未授權(quán)訪問的機(jī)會(huì)。 A.9.2.2 支持性設(shè)施 控制措施 應(yīng)保護(hù)設(shè)備使其免于由支持性設(shè)施的失效而引起的電源故障和其他 中斷。 A.9.2.3 布纜 控制措施 應(yīng)保證傳輸數(shù)據(jù)或支持信息服務(wù)的電源布纜和通信布纜免受竊聽或 損壞。 A.9.2.4 A.9.2.5 設(shè)備維護(hù) 控制措施 設(shè)備應(yīng)予以正確地維護(hù)，以確保其持續(xù)的可用性和完整性。 組 織 場 所 外 的 控制措施 設(shè)備 應(yīng)對組織場所的設(shè)備采取措施，要考慮工作在組織場所以外的不 同風(fēng)險(xiǎn)。 設(shè)備的 處 置或再利用 資產(chǎn)的移動(dòng) A.9.2.6 控制措施 包含儲存介質(zhì)的設(shè)備的所有項(xiàng)目應(yīng)進(jìn)行檢查，以確保在銷毀之前，任 何敏感信息和注冊軟件已被刪除或重寫。 A.9.2.7 控制措施 設(shè)備、信息或軟件在授權(quán)之前不應(yīng)帶出組織場所。 A.10 通信和操作管理 A.10.1 操作程序和職責(zé) 目標(biāo)：確保正確、的操作信息處理設(shè)施。 A.10.1.1 A.10.1.2 A.10.1.3 文件化 的操作 程序 變更管理 責(zé)任分割 控制措施 操作程序應(yīng)形成文件、保持并對所有需要的用戶可用。 控制措施 對信息處理設(shè)施和系統(tǒng)的變更應(yīng)加以控制。 控制措施 各類責(zé)任及職責(zé)范圍應(yīng)加以分割，以降低未授權(quán)或無意識的修改或者 不當(dāng)使用組織資產(chǎn)的機(jī)會(huì)。 A.10.1.4 開發(fā)、測試和 運(yùn)行設(shè)施分離 控制措施 開發(fā)、測試和運(yùn)行設(shè)施應(yīng)分離，以減少未授權(quán)訪問或改變運(yùn)行系統(tǒng)的 風(fēng)險(xiǎn)。 A.10.2 第三方服務(wù)交付管理 目標(biāo)：實(shí)施和保持符合第三方服務(wù)交付協(xié)議的信息和服務(wù)交付的適當(dāng)水準(zhǔn)。 A.10.2.1 服務(wù)交付 控制措施 應(yīng)確保第三方實(shí)施、運(yùn)行和保持包含在第三方服務(wù)交付協(xié)議中的 控制措施、服務(wù)定義和交付水準(zhǔn)。 A.10.2.2 第三方服務(wù)的 監(jiān)視和評審 第三方服務(wù)的 變更管理 控制措施 應(yīng)定期監(jiān)視和評審由第三方提供的服務(wù)、報(bào)告和記錄，審核也應(yīng)定期 執(zhí)行。 A.10.2.3 控制措施 應(yīng)管理服務(wù)提供的變更，包括保持和改進(jìn)現(xiàn)有的信息方針策略、 程序和控制措施，要考慮業(yè)務(wù)系統(tǒng)和涉及過程的關(guān)鍵程度及風(fēng)險(xiǎn) 的再 評估。 A.10.3 系統(tǒng)規(guī)劃和驗(yàn)收 目標(biāo)：將系統(tǒng)失效的風(fēng)險(xiǎn)降至小。 A.10.3.1 容量管理 控制措施 資源的使用應(yīng)加以監(jiān)視、調(diào)整，并應(yīng)作出對于未來容量要求的預(yù)測， 以確保擁有所需的系統(tǒng)性能。 A.10.3.2 系統(tǒng)驗(yàn)收 控制措施 應(yīng)建立對新信息系統(tǒng)、升級及新版本的驗(yàn)收準(zhǔn)則，并且在開發(fā)中和驗(yàn) 收前對系統(tǒng)進(jìn)行適當(dāng)?shù)臏y試。 A.10.4 防范惡意和移動(dòng)代碼 目標(biāo)：保護(hù)軟件和信息的完整性。 A.10.4.1 控制惡意代碼 控制措施 應(yīng)實(shí)施惡意代碼的監(jiān)測、和恢復(fù)的控制措施，以及適當(dāng)?shù)奶岣哂?戶意識的程序。 A.10.4.2 控制移動(dòng)代碼 控制措施 當(dāng)授權(quán)使用移動(dòng)代碼時(shí)，其配置應(yīng)確保授權(quán)的移動(dòng)代碼按照清晰定義 的策略運(yùn)行，應(yīng)阻止執(zhí)行未授權(quán)的移動(dòng)代碼。 A.10.5 備份 目標(biāo)：保持信息和信息處理設(shè)施的完整性及可用性。 A.10.5.1 信息備份 控制措施 應(yīng)按照已設(shè)的備份策略，定期備份和測試信息和軟件。 A.10.6 網(wǎng)絡(luò)管理 目標(biāo)：確保網(wǎng)絡(luò)中信息的性并保護(hù)支持性的基礎(chǔ)設(shè) 施。 A.10.6.1 網(wǎng)絡(luò)控制 控制措施 應(yīng)充分管理和控制網(wǎng)絡(luò)，以防止威脅的發(fā)生，維護(hù)系統(tǒng)和使用網(wǎng)絡(luò)的 應(yīng)用程序的，包括傳輸中的信息。 A.10.6.2 網(wǎng)絡(luò)服務(wù)的安 全 控制措施 特性、服務(wù)級別以及所有網(wǎng)絡(luò)服務(wù)的管理要求應(yīng)予以確定并包括 在所有網(wǎng)絡(luò)服務(wù)協(xié)議中，無論這些服務(wù)是由內(nèi)部提供的還是外包 的。 A.10.7 介質(zhì)處置 目標(biāo)：防止資產(chǎn)遭受未授權(quán)泄露、修改、移動(dòng)或銷毀以及業(yè)務(wù)活動(dòng)的中斷。 A.10.7.1 A.10.7.2 A.10.7.3 可移動(dòng) 介質(zhì)的 管理 介質(zhì)的處置 信息處理程序 控制措施 應(yīng)有適當(dāng)?shù)目梢苿?dòng)介質(zhì)的管理程序。 控制措施 不再需要的介質(zhì)，應(yīng)使用正式的程序可靠并地處置。 控制措施 應(yīng)建立信息的處理及存儲程序，以防止信息的未授權(quán)的泄漏或不當(dāng)使 用。 A.10.7.4 系統(tǒng)文件 控制措施 應(yīng)保護(hù)系統(tǒng)文件以防止未授權(quán)的訪問。 A.10.8 信息的交換 目標(biāo)：保持組織內(nèi)信息和軟件交換及與外部組織信息和軟件交換的。 A.10.8.1 信息交換策略 和程序 控制措施 應(yīng)有正式的交換策略、程序和控制措施，以保護(hù)通過使用各種類型通 信設(shè)施的信息交換。 A.10.8.2 A.10.8.3 交換協(xié)議 運(yùn)輸中的物理 介質(zhì) 電子消息發(fā)送 業(yè)務(wù)信息系統(tǒng) 控制措施 應(yīng)建立組織與外部團(tuán)體交換信息和軟件的協(xié)議。 控制措施 包含信息的介質(zhì)在組織的物理邊界以外運(yùn)送時(shí)，應(yīng)防止未授權(quán)的訪 問、不當(dāng)使用或毀壞。 A.10.8.4 A.10.8.5 控制措施 包含在電子消息發(fā)送中的信息應(yīng)給予適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)建立并實(shí)施策略和程序，以保護(hù)與業(yè)務(wù)信息系統(tǒng)互聯(lián)相關(guān)的信息。 A.10.9 電子商務(wù)服務(wù) 目標(biāo)：確保電子商務(wù)服務(wù)的及其使用。 A.10.9.1 電子商務(wù) 控制措施 包含在使用公共網(wǎng)絡(luò)的電子商務(wù)中的信息應(yīng)受保護(hù)，以防止欺詐活 動(dòng)、合同爭議和未授權(quán)的泄露和修改。 A.10.9.2 在線交易 控制措施 包含在在線交易中的信息應(yīng)受保護(hù)，以防止不完全傳輸、錯(cuò)誤路由、 未授權(quán)的消息篡改、未授權(quán)的泄露、未授權(quán)的消息復(fù)制或重放。 A.10.9.3 公共可用信息 控制措施 在公共可用系統(tǒng)中可用信息的完整性應(yīng)受保護(hù)，以防止未授權(quán)的修 改。 A.10.10 監(jiān)視 目標(biāo)：檢測未經(jīng)授權(quán)的信息處理活動(dòng)。 A.10.10.1 審核日志 控制措施 應(yīng)產(chǎn)生記錄用戶活動(dòng)、異常和信息事態(tài)的審核日志，并要保持一 個(gè)已設(shè)的周期以支持將來的調(diào)查和訪問控制監(jiān)視。 A.10.10.2 A.10.10.3 監(jiān)視系統(tǒng)的使 用 日志信息的保 護(hù) 管理員和操作 員日志 故障日志 時(shí)鐘同步 控制措施 應(yīng)建立信息處理設(shè)施的監(jiān)視使用程序，監(jiān)視活動(dòng)的結(jié)果要經(jīng)常評審。 控制措施 記錄日志的設(shè)施和日志信息應(yīng)加以保護(hù)，以防止篡改和未授權(quán)的訪 問。 A.10.10.4 A.10.10.5 A.10.10.6 控制措施 系統(tǒng)管理員和系統(tǒng)操作員活動(dòng)應(yīng)記入日志。 控制措施 故障應(yīng)被記錄、分析，并采取適當(dāng)?shù)拇胧? 控制措施 一個(gè)組織或域內(nèi)的所有相關(guān)信息處理設(shè)施的時(shí)鐘應(yīng)使用已設(shè)的 時(shí)間源進(jìn)行同步。 A.11 訪問控制 A.11.1 訪問控制的業(yè)務(wù)要求 目標(biāo)：控制對信息的訪問。 A.11.1.1 訪問控制策略 控制措施 訪問控制策略應(yīng)建立、形成文件，并基于業(yè)務(wù)和訪問的要求進(jìn)行 評審。 A.11.2 用戶訪問管理 目標(biāo)：確保授權(quán)用戶訪問信息系統(tǒng)，并防止未授權(quán)的訪問。 A.11.2.1 用戶注冊 控制措施 應(yīng)有正式的用戶注冊及注銷程序，來授權(quán)和撤銷對所有信息系統(tǒng)及服 務(wù)的訪問。 A.11.2.2 A.11.2.3 A.11.2.4 特殊權(quán)限管理 用戶口令管理 用戶訪問權(quán)的 復(fù)查 控制措施 應(yīng)限制和控制特殊權(quán)限的分配及使用。 控制措施 應(yīng)通過正式的管理過程控制口令的分配。 控制措施 管理者應(yīng)定期使用正式過程對用戶的訪問權(quán)進(jìn)行復(fù)查。 A.11.3 用戶職責(zé) 目標(biāo)：防止未授權(quán)用戶對信息和信息處理設(shè)施的訪問、危害或竊取。 A.11.3.1 A.11.3.2 A.11.3.3 口令使用 無人 值守的用 戶設(shè)備 清空桌面和屏 幕策略 控制措施 應(yīng)要求用戶在選擇及使用口令時(shí)，遵循良好的習(xí)慣。 控制措施 用戶應(yīng)確保無人值守的用戶設(shè)備有適當(dāng)?shù)谋Ｗo(hù)。 控制措施 應(yīng)采取清空桌面上文件、可移動(dòng)存儲介質(zhì)的策略和清空信息處理設(shè)施 屏幕的策略。 A.11.4 網(wǎng)絡(luò)訪問控制 目標(biāo)：防止對網(wǎng)絡(luò)服務(wù)的未授權(quán)訪問。 A.11.4.1 A.11.4.2 A.11.4.3 A.11.4.4 A.11.4.5 A.11.4.6 使用網(wǎng)絡(luò) 服務(wù) 的策略 外部連接的用 戶鑒別 網(wǎng)絡(luò)上的設(shè)備 標(biāo)識 遠(yuǎn)程診斷和配 置端口的保護(hù) 網(wǎng)絡(luò)隔離 網(wǎng)絡(luò)連接控制 控制措施 用戶應(yīng)僅能訪問已獲專門授權(quán)使用的服務(wù)。 控制措施 應(yīng)使用適當(dāng)?shù)蔫b別方法以控制遠(yuǎn)程用戶的訪問。 控制措施 應(yīng)考慮自動(dòng)設(shè)備標(biāo)識，將其作為鑒別特定位置和設(shè)備連接的方法。 控制措施 對于診斷和配置端口的物理和邏輯訪問應(yīng)加以控制。 控制措施 應(yīng)在網(wǎng)絡(luò)中隔離信息服務(wù)、用戶及信息系統(tǒng)。 控制措施 對于共享的網(wǎng)絡(luò)，特別是越過組織邊界的網(wǎng)絡(luò)，用戶的聯(lián)網(wǎng)能力應(yīng)按 照訪問控制策略和業(yè)務(wù)應(yīng)用要求加以限制（見 11.1）。 A.11.4.7 網(wǎng)絡(luò)路由控制 控制措施 應(yīng)在網(wǎng)絡(luò)中實(shí)施路由控制，以確保計(jì)算機(jī)連接和信息流不違反業(yè)務(wù)應(yīng) 用的訪問控制策略。 A.11.5 操作系統(tǒng)訪問控制 目標(biāo)：防止對操作系統(tǒng)的未授權(quán)訪問。 A.11.5.1 A.11.5.2 登錄程序 用戶標(biāo)識和鑒 別 控制措施 訪問操作系統(tǒng)應(yīng)通過登錄程序加以控制。 控制措施 所有用戶應(yīng)有 的、 其個(gè)人使用的標(biāo)識符（用戶 ID），應(yīng)選擇 一種適當(dāng)?shù)蔫b別技術(shù)證實(shí)用戶所宣稱的身份。 A.11.5.3 A.11.5.4 口令管理系統(tǒng) 系統(tǒng)實(shí)用工具 的使用 會(huì)話超時(shí) 聯(lián)機(jī)時(shí)間的限 定 控制措施 口令管理系統(tǒng)應(yīng)是交互式的，并應(yīng)確保優(yōu)質(zhì)的口令。 控制措施 可能超越系統(tǒng)和應(yīng)用程序控制的實(shí)用工具的使用應(yīng)加以限制并嚴(yán)格 控制。 A.11.5.5 A.11.5.6 控制措施 不活動(dòng)會(huì)話應(yīng)在一個(gè)設(shè)定的休止期后關(guān)閉。 控制措施 應(yīng)使用聯(lián)機(jī)時(shí)間的限制，為高風(fēng)險(xiǎn)應(yīng)用程序提供額外的。 A.11.6 應(yīng)用和信息訪問控制 目標(biāo)：防止對應(yīng)用系統(tǒng)中信息的未授權(quán)訪問。 A.11.6.1 信息訪問限制 控制措施 用戶和支持人員對信息和應(yīng)用系統(tǒng)功能的訪問應(yīng)依照已確定的訪問 控制策略加以限制。 A.11.6.2 敏感系統(tǒng)隔離 控制措施 敏感系統(tǒng)應(yīng)有專用的（隔離的）運(yùn)算環(huán)境。 A.11.7 移動(dòng)計(jì)算和遠(yuǎn)程工作 目標(biāo)：確保使用可移動(dòng)計(jì)算和遠(yuǎn)程工作設(shè)施時(shí)的信息。 A.11.7.1 移動(dòng)計(jì)算和通 信 遠(yuǎn)程工作 控制措施 應(yīng)有正式策略并且采用適當(dāng)?shù)拇胧?，以防范使用移?dòng)計(jì)算和通信 設(shè)施時(shí)所造成的風(fēng)險(xiǎn)。 A.11.7.2 控制措施 應(yīng)為遠(yuǎn)程工作活動(dòng)開發(fā)和實(shí)施策略、操作計(jì)劃和程序。 A.12 信息系統(tǒng)獲取、開發(fā)和維護(hù) A.12.1 信息系統(tǒng)的要求 目標(biāo)：確保是信息系統(tǒng)的一個(gè)有機(jī)組成部分。 A.12.1.1 要 求分析 和說明 控制措施 在新的信息系統(tǒng)或增強(qiáng)已有信息系統(tǒng)的業(yè)務(wù)要求陳述中，應(yīng)規(guī)定對安 全控制措施的要求。 A.12.2 應(yīng)用中的正確處理 目標(biāo)：防止應(yīng)用系統(tǒng)中的信息的錯(cuò)誤、遺失、未授權(quán)的修改及誤用。 A.12.2.1 A.12.2.2 輸入數(shù)據(jù)驗(yàn)證 內(nèi)部處理的控 制 消息完整性 控制措施 輸入應(yīng)用系統(tǒng)的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保數(shù)據(jù)是正確且恰當(dāng)?shù)摹? 控制措施 驗(yàn)證檢查應(yīng)整合到應(yīng)用中，以檢查由于處理的錯(cuò)誤或故意的行為造成 的信息的訛誤。 A.12.2.3 控制措施 應(yīng)用中的確保真實(shí)性和保護(hù)消息完整性的要求應(yīng)得到識別，適當(dāng)?shù)目?制措施也應(yīng)得到識別并實(shí)施。 A.12.2.4 輸出數(shù)據(jù)驗(yàn)證 控制措施 從應(yīng)用系統(tǒng)輸出的數(shù)據(jù)應(yīng)加以驗(yàn)證，以確保對所存儲信息的處理是正 確的且適于環(huán)境的。 A.12.3 密碼控制 目標(biāo)：通過密碼方法保護(hù)信息的保密性、真實(shí)性或完整性。 A.12.3.1 A.12.3.2 使用密碼控制 的策略 密鑰管理 控制措施 應(yīng)開發(fā)和實(shí)施使用密碼控制措施來保護(hù)信息的策略。 控制措施 應(yīng)有密鑰管理以支持組織使用密碼技術(shù)。 A.12.4 系統(tǒng)文件的 目標(biāo)：確保系統(tǒng)文件的 A.12.4.1 A.12.4.2 A.12.4.3 運(yùn)行軟件的控 制 系統(tǒng)測試數(shù)據(jù) 的保護(hù) 控制措施 應(yīng)有程序來控制在運(yùn)行系統(tǒng)上安裝軟件。 控制措施 測試數(shù)據(jù)應(yīng)認(rèn)真地加以選擇、保護(hù)和控制。 對 程 序 源 代 碼 控制措施 的訪問控制 應(yīng)限制訪問程序源代碼。 A.12.5 開發(fā)和支持過程中的 目標(biāo)：維護(hù)應(yīng)用系統(tǒng)軟件和信 息的。 A.12.5.1 變更控制程序 控制措施 應(yīng)使用正式的變更控制程序控制變更的實(shí)施。 A.12.5.2 操作系統(tǒng)變更 后應(yīng)用的技術(shù) 評審 軟件包變更的 限制 信息泄露 外包軟件開發(fā) 控制措施 當(dāng)操作系統(tǒng)發(fā)生變更后，應(yīng)對業(yè)務(wù)的關(guān)鍵應(yīng)用進(jìn)行評審和測試，以確 保對組織的運(yùn)行和沒有負(fù)面影響。 A.12.5.3 控制措施 應(yīng)對軟件包的修改進(jìn)行勸阻，限制必要的變更，且對所有的變更加以 嚴(yán)格控制。 A.12.5.4 A.12.5.5 控制措施 應(yīng)防止信息泄露的可能性。 控制措施 組織應(yīng)管理和監(jiān)視外包軟件的開發(fā)。 A.12.6 技術(shù)脆弱性管理 目標(biāo)：降低利用公布的技術(shù)脆弱性導(dǎo)致的風(fēng)險(xiǎn)。 A.12.6.1 技 術(shù) 脆 弱 性 的 控制措施 應(yīng)及時(shí)得到現(xiàn)用信 息系統(tǒng)技術(shù)脆弱性的信息，評價(jià)組織對這些脆弱性 控制 的暴露程度，并采取適當(dāng)?shù)拇胧﹣硖幚硐嚓P(guān)的風(fēng)險(xiǎn)。 A.13 信息事件管 理 A.13.1 報(bào)告信息事態(tài)和弱點(diǎn) 目標(biāo)：確保與信息系統(tǒng)有關(guān)的信息事態(tài)和弱點(diǎn)能夠以某種方式傳達(dá)，以便及時(shí)采取糾正措施 。 A.13.1.1 A.13.1.2 報(bào)告信息 事態(tài) 報(bào)告弱點(diǎn) 控制措施 信息事態(tài)應(yīng)該盡可能快地通過適當(dāng)?shù)墓芾砬肋M(jìn)行報(bào)告。 控制措施 應(yīng)要求信息系統(tǒng)和服務(wù)的所有雇員、承包方人員和第三方人員記錄并 報(bào)告他們觀察到的或懷疑的任何系統(tǒng)或服務(wù)的弱點(diǎn)。 A.13.2 信息事件和改進(jìn)的管理 目標(biāo)：確保采用一致和有效的方法對信息事件進(jìn)行管理。 A.13.2.1 職責(zé)和程序 控制措施 應(yīng)建立管理職責(zé)和程序，以確保能對信息事件做出快速、有效和 有序的響應(yīng)。 A.13.2.2 A.13.2.3 對信息事 件的總結(jié) 證據(jù)的收集 控制措施 應(yīng)有一套機(jī)制量化和監(jiān)視信息事件的類型、數(shù)量和代價(jià)。 控制措施 當(dāng)一個(gè)信息事件涉及到訴訟（民事的或刑事的），需要進(jìn)一步對 個(gè)人或組織進(jìn)行起訴時(shí)，應(yīng)收集、保留和呈遞證據(jù)，以使證據(jù)符 合相 關(guān)訴訟管轄權(quán)。 A.14 業(yè)務(wù)連續(xù)性管理 A.14.1 業(yè)務(wù)連續(xù)性管理的信息方面 目標(biāo)：防止業(yè)務(wù)活動(dòng)中斷，保護(hù)關(guān)鍵業(yè)務(wù)過程免受信息系統(tǒng)重大失誤 或?yàn)?zāi)難的影響，并確保它們的 及時(shí)恢復(fù)。 A.14.1.1 業(yè)務(wù)連續(xù)性管 理過程中包含 的信息 業(yè)務(wù)連續(xù)性和 風(fēng)險(xiǎn)評估 制定和實(shí)施 包 含信息的 連續(xù)性計(jì)劃 業(yè)務(wù)連續(xù)性計(jì) 劃框架 測試、維護(hù)和 再評估業(yè)務(wù)連 續(xù)性計(jì)劃 控制措施 應(yīng)為貫穿于組織的業(yè)務(wù)連續(xù)性開發(fā)和保持一個(gè)管理過程，以解決組織 的業(yè)務(wù)連續(xù)性所需的信息要求。 A.14.1.2 控制措施 應(yīng)識別能引起業(yè)務(wù)過程中斷的事態(tài)，這種中斷發(fā)生的概率和影響，以 及它們對信息所造成的后果。 A.14.1.3 控制措施 應(yīng)制定和實(shí)施計(jì)劃來保持或恢復(fù)運(yùn)行，以在關(guān)鍵業(yè)務(wù)過程中斷或失敗 后能夠在要求的水平和時(shí)間內(nèi)確保信息的可用性。 A.14.1.4 控制措施 應(yīng)保持一個(gè) 的業(yè)務(wù)連續(xù)性計(jì)劃框架，以確保所有計(jì)劃是一致的， 能夠協(xié)調(diào)地解決信息要求，并為測試和維護(hù)確定優(yōu)先級。 A.14.1.5 控制措施 業(yè)務(wù)連續(xù)性計(jì)劃應(yīng)定期測試和更新，以確保其及時(shí)性和有效性。 A.15 符合性 A.15.1 符合法律要求 目標(biāo)：避免違反任何法律、法令、法規(guī)或合同義務(wù)，以及任何要求。 A.15.1.1 可用法律的 識 別 控制措施 對每一個(gè)信息系統(tǒng)和組織而言，所有相關(guān)的法令、法規(guī)和合同要求， 以及為滿足這些要求組織所采用的方法，應(yīng)加以明確地定義、形 成文 件并保持更新。 A.15.1.2 知 識 產(chǎn) 權(quán) （IPR） 保護(hù)組織的記 錄 數(shù)據(jù)保護(hù)和個(gè) 人信息的隱私 控制措施 應(yīng)實(shí)施適當(dāng)?shù)某绦?，以確保在使用具有知識產(chǎn)權(quán)的材料和具有所有權(quán) 的軟件產(chǎn)品時(shí)，符合法律、法規(guī)和合同的要求。 A.15.1.3 控制措施 應(yīng)防止重要的記錄遺失、毀壞和偽造，以滿足法令、法規(guī)、合同和業(yè) 務(wù)的要求。 A.15.1.4 控制措施 應(yīng)依照相關(guān)的法律、法規(guī)和合同條款的要求，確保數(shù)據(jù)保護(hù)和隱私。 A.15.1.5 A.15.1.6 防止濫用信息 處理設(shè)施 密碼控制措施 的規(guī)則 控制措施 應(yīng)禁止用戶使用信息處理設(shè)施用于未授權(quán)的目的。 控制措施 使用密碼控制措施應(yīng)遵從相關(guān)的協(xié)議、法律和法規(guī)。 A.15.2 符合策略和標(biāo)準(zhǔn)以及技術(shù)符合性 目標(biāo)：確保系統(tǒng)符合組織的策略及標(biāo)準(zhǔn)。 A.15.2.1 符合策略 和標(biāo)準(zhǔn) 技術(shù)符 合性檢 查 控制措施 管理人員應(yīng)確保在其職責(zé)范圍內(nèi)的所有程序被正確地執(zhí)行，以確 保符合策略及標(biāo)準(zhǔn)。 A.15.2.2 控制措施 信息系統(tǒng)應(yīng)被定期檢查是否符合實(shí)施標(biāo)準(zhǔn)。 A.15.3 信息系統(tǒng)審核考慮 目標(biāo)：將信息系統(tǒng)審核過程的有效性 化，干擾小化。 A.15.3.1 信息系統(tǒng)審核 控制措施 信息系統(tǒng) 審核 工具的保護(hù) 控 制措施 涉及對運(yùn)行系統(tǒng)檢查的審核要求和活動(dòng)，應(yīng)謹(jǐn)慎地加以規(guī)劃并取得批 準(zhǔn)，以便小化造成業(yè)務(wù)過程中斷的風(fēng)險(xiǎn)。 A.15.3.2 控制措施 對于信息系統(tǒng)審核工具的訪問應(yīng)加以保護(hù)，以防止任何可能的濫用或 損害。

iso45001與ISO14001體系的一體化及其審核 iso45001和ISO14001體系有從標(biāo)準(zhǔn)上看很多共同點(diǎn)，能夠互相兼容，有效地實(shí)現(xiàn)體系的一體化。 一、ISO14001與OHSAS18001體系的共同性 1、兩個(gè)體系均屬于規(guī)范化、文件化、系統(tǒng)化的管理體系：ISO14001環(huán)境管理體系是國際標(biāo)準(zhǔn)化組織（ISO）在1996年9月發(fā)布的認(rèn)證標(biāo)準(zhǔn)，后經(jīng)我國有關(guān)部門等同轉(zhuǎn)化為我國 標(biāo)準(zhǔn)。OHSAS18001是英國標(biāo)準(zhǔn)協(xié)會(huì)（BS1）等12個(gè)組織在1999年發(fā)布的職業(yè)管理體系規(guī)范。也經(jīng)我國有關(guān)部門轉(zhuǎn)化成相應(yīng)的認(rèn)證試行標(biāo)準(zhǔn)。兩個(gè)標(biāo)準(zhǔn)均為規(guī)范化的管理體系，由17個(gè)管理要素構(gòu)成，并對各管理要素提出了明確的要求。這些要求絕大部分也是相似的。由于這二個(gè)體系從形式到內(nèi)容均有非常多的共同性，對實(shí)現(xiàn)體系的一體化具有很好的基礎(chǔ)。 2、兩個(gè)體系都遵循相同的管理模式：兩個(gè)體系都共同遵循策劃（P）—實(shí)施（D）—檢查與糾正（C）—評審改進(jìn)（A）的管理模式，通過PDCA的循環(huán)，實(shí)現(xiàn)管理體系和績效的持續(xù)改進(jìn)。 3、兩個(gè)體系均強(qiáng)調(diào)方針、目標(biāo)、運(yùn)行控制與環(huán)境因素（或危險(xiǎn)源）的一致性。即方針要符合環(huán)境影響（或風(fēng)險(xiǎn)）的性質(zhì)與規(guī)模，而所評價(jià)出的重要環(huán)境因素（或重大風(fēng)險(xiǎn)）均應(yīng)通過目標(biāo)、管理方案及運(yùn)行控制程序進(jìn)行控制。 4、兩個(gè)體系的管理要素極為相似：兩個(gè)體系均包括五個(gè)部分、共17個(gè)管理要素，從方針到管理評審要素的設(shè)置完全相同。雖然個(gè)別要素的名稱略有差別，但管理功能基本相同。兩個(gè)體系的17個(gè)管理要素的對照見下表。 要素號 ISO14001 iso45001 4.2 環(huán)境方針 職業(yè)方針 4.3.1 環(huán)境因素 危險(xiǎn)源辨識、風(fēng)險(xiǎn)評價(jià)和風(fēng)險(xiǎn)控制、策劃 4.3.2 法律及其他要求 法律及其他要求 4.3.3 目標(biāo)和指標(biāo) 目標(biāo) 4.3.4 環(huán)境管理方案 職業(yè)管理方案 4.4.1 組織結(jié)構(gòu)和職責(zé) 機(jī)構(gòu)和職責(zé) 4.4.2 培訓(xùn)、意識和能力 培訓(xùn)、意識與能力 4.4.3 信息交流 協(xié)商與交流 4.4.4 環(huán)境管理體系文件 文件 4.4.5 文件控制 文件與資料控制 4.4.6 運(yùn)行控制 運(yùn)行控制 4.4.7 應(yīng)急準(zhǔn)備和響應(yīng) 應(yīng)急準(zhǔn)備與響應(yīng) 4.5.1 監(jiān)測和測量 績效測量與監(jiān)測 4.5.2 不符合、糾正與措施 事故、事件、不符合、糾正與措施 4.5.3 記錄 記錄及記錄管理 4.5.4 環(huán)境管理體系審核 審核 4.6 管理評審 管理評審 體系的共同性為實(shí)現(xiàn)二個(gè)體系的一體化提供了基本條件。 另外從企業(yè)實(shí)際管理中，環(huán)境管理和職業(yè)管理也存在著很多共通性，例如：①環(huán)境管理和管理的任務(wù)相似，即改善環(huán)境或績效以及環(huán)境或事故；②環(huán)境管理和管理涉及到企業(yè)中所有部門和活動(dòng)并與全體員工有關(guān)；③在相當(dāng)多的企業(yè)中，將環(huán)境與管理設(shè)在同一個(gè)部門（例如：環(huán)保處），這些均能體現(xiàn)出這二種管理的共通性。 由于上述管理和環(huán)境管理的共通性，以致很多企業(yè)在建立上述兩個(gè)體系時(shí)，就把建立、推進(jìn)體系的任務(wù)放在了同一個(gè)部門；又由于ISO14001和OHSAS18001兩個(gè)管理體系的共同性，很多企業(yè)在建立體系時(shí)就把兩個(gè)體系整合為一個(gè)體系（例如：稱為環(huán)境與管理體系）。建立了一套體系文件，同時(shí)實(shí)施運(yùn)行，完全實(shí)現(xiàn)了二種體系的一體化。這樣就對認(rèn)證機(jī)構(gòu)提出了ISO14001環(huán)境管理體系和OHSAS18001職業(yè)管理體系實(shí)施一體化審核的要求。 二、體系文件的一體化 OHSAS18001職業(yè)管理體系ISO14001環(huán)境管理體系的文件體系相同，一般都由手冊、程序文件和作業(yè)指導(dǎo)書（或操作規(guī)程）三級文件所構(gòu)成。在建立一體化的管理體系時(shí)，能否將兩個(gè)體系的文件融合成一套體系文件，是大家比較關(guān)心的問題。在我們審核的企業(yè)中，不少均已成功地實(shí)現(xiàn)了兩個(gè)體系文件的整合。取得了成功的經(jīng)驗(yàn)。現(xiàn)將一體化文件的主要結(jié)構(gòu)和編寫時(shí)的注意事項(xiàng)分述如下： 1、管理手冊 二個(gè)體系的管理手冊可以編成一本手冊（例如稱為：環(huán)境與管理手冊）。實(shí)現(xiàn)文件的一體化。只是在每個(gè)要素的描述中，要注意覆蓋18001和14001兩個(gè)體系的要求，二個(gè)體系的要求有的是相同的，但也有不少不同點(diǎn)，編寫時(shí)不能忽視。例如： （1）在4.2職業(yè)方針中，就有“傳達(dá)到全體員工，使其每個(gè)人都認(rèn)識到其在職業(yè)方面的義務(wù)”和“定期進(jìn)行評審，確保其適宜性”等規(guī)定，這在環(huán)境方針中是沒有的。 （2）在4.3.1中，兩個(gè)體系的描述有很大區(qū)別，應(yīng)分別寫成二個(gè)部分以覆蓋二個(gè)體系的不同要求。例如：對識別范圍的要求，對評價(jià)結(jié)果分級的要求和對控制策劃的要求都很難用同一段文字覆蓋二個(gè)體系的不同要求。 （3）在4.4.1中，增加了對管理者代表的職務(wù)級別的規(guī)定；并規(guī)定：對組織的活動(dòng)、設(shè)施和過程實(shí)施管理，操作和驗(yàn)證的人員均要規(guī)定作用職責(zé)和權(quán)限；所有承擔(dān)管理職責(zé)的人員都應(yīng)實(shí)現(xiàn)其對職業(yè)績效持續(xù)改進(jìn)的承諾。 （4）在4.4.3中，OHSAS18001增加了員工（或員工代表）在體系建立和實(shí)施中應(yīng)參與的活動(dòng)。 另外在4.3.2、4.3.4、4.4.6、4.5.1和4.5.2中，iso45001和ISO14001也有很多不同的要求。所以在編制一本“一體化”的管理手冊時(shí)，除了要在不同的要素中對兩個(gè)體系共同的部分進(jìn)行描述外，還應(yīng)該體現(xiàn)出兩個(gè)體系的不同要求。 2、程序文件 （1）對于標(biāo)準(zhǔn)中要求建立程序的多數(shù)要素，可以編成一體化的程序。例如：4.3.2、4.4.2、4.4.3、4.4.5、4.4.7、4.5.1、4.5.2、4.5.3和 4.5.4等要素。與手冊編寫一樣，在程序中也要注意覆蓋兩個(gè)體系的所有要求。 （2）對于4.3.1“環(huán)境因素識別和評價(jià)”與“危險(xiǎn)源辨識，風(fēng)險(xiǎn)評價(jià)和風(fēng)險(xiǎn)控制策劃”應(yīng)該分別編寫二個(gè)程序文件，以使其具有較好的可操作性。 （3）對于4.4.6運(yùn)行控制程序 A) ISO14001環(huán)境管理體系中要求，對與所認(rèn)定的重要環(huán)境因素相 關(guān)的運(yùn)行與活動(dòng)，制定運(yùn)行控制程序。對一個(gè)生產(chǎn)型企業(yè)來說， 一般應(yīng)包括下列運(yùn)行控制程序。 a. 水污染控制程序 b. 大氣污染控制程序 c. 噪聲控制程序 d. 固體廢棄物管理程序 e. 能源管理程序 f. 原材料管理程序 g. 油品、化學(xué)品管理程序 h. 環(huán)保設(shè)施管理程序 i. 新建、改建、擴(kuò)建項(xiàng)目環(huán)境保護(hù)管理程序 j. 供方、承包方管理程序 k. 新產(chǎn)品開發(fā)設(shè)計(jì)管理程序，等。 B) OHSAS18001職業(yè)管理體系在4.4.6運(yùn)行控制中則要求，對所認(rèn)定的風(fēng)險(xiǎn)有關(guān)的、需要采取控制措施的運(yùn)行與活動(dòng)，制定運(yùn)行控制文件。對一個(gè)生產(chǎn)型企業(yè)而言，大體包括： a. 工藝管理程序； b. 設(shè)備與設(shè)施管理程序； c. 化學(xué)品、油品管理程序； d. 員工管理程序； e. 女工保護(hù)管理程序； f. 勞動(dòng)防護(hù)用品管理程序； g. 供方和承包方管理程序； h. 特殊工種管理程序； i. 危險(xiǎn)作業(yè)管理程序； j. 新、改、擴(kuò)建工程管理程序； k. 檢修維護(hù)工作管理程序； l. 電氣管理程序； m. 管網(wǎng)管理程序； n. 廠內(nèi)交通運(yùn)輸管理程序； o. 管理或作業(yè)變更管理程序等。 從上述兩份典型的運(yùn)行控制程序目錄可以看出：兩個(gè)體系能共用的程序只有3-4個(gè)，其余大多數(shù)程序所管理的內(nèi)容不同。所以對二個(gè)體系的運(yùn)行控制程序而言不要勉強(qiáng)合并。要根據(jù)二個(gè)體系的要求，編制具有可操作性的控制文件。這對于實(shí)現(xiàn)重要環(huán)境因素與風(fēng)險(xiǎn)的有效控制是必需的。 3、作業(yè)指導(dǎo)書（或操作規(guī)程） 作業(yè)指導(dǎo)書（或操作規(guī)程）是指操作崗位所執(zhí)行的作業(yè)文件。對一個(gè)具體的崗位而言，文件應(yīng)盡量統(tǒng)一， 能實(shí)現(xiàn)文件的單一化。對于環(huán)境和兩方面是如此，甚至包括質(zhì)量方面的要求都可以變成一份作業(yè)指導(dǎo)書，使操作者一目了然。例如：對于一個(gè)電子工廠的波峰焊接機(jī)操作崗位，在一份作業(yè)指導(dǎo)書上可以先寫如何啟動(dòng)運(yùn)行設(shè)備，保障波峰焊的質(zhì)量；又可寫明如何避免燙傷等事故；還可寫明如何控制含鉛煙塵的排放和妥善處理含鉛廢物等，一個(gè)文件覆蓋三個(gè)體系的管理內(nèi)容。所以對于第三級文件，完全可以實(shí)現(xiàn)整合，即對同一崗位整合成為一份單一的文件。 綜上所述，實(shí)現(xiàn)二個(gè)體系文件的一體化是完全可行的。但要注意既要分別滿足二個(gè)體系的要求，又要適合實(shí)際管理和操作的需要。在這個(gè)前提下使文件盡量簡化。 三、一體化審核 兩個(gè)體系的審核也具有很多共同性。例如： 1、采用同樣的審核程序 ISO14001環(huán)境管理體系審核的審核程序是按照ISO14011《環(huán)境審核指南—審核程序—環(huán)境管理體系審核》進(jìn)行的。在OHSAS18001職業(yè)管理體系的審核中，同樣遵循了類似的程序。并且在審核的策劃和準(zhǔn)備、審核的實(shí)施、糾正措施的跟蹤等，都規(guī)定了基本相同的要求。兩個(gè)體系審核采用同樣程序，是實(shí)現(xiàn)二個(gè)體系審核一體化的基礎(chǔ)。 這里需要指出的是：根據(jù) 環(huán)認(rèn)委發(fā)布的環(huán)境管理體系認(rèn)證機(jī)構(gòu)認(rèn)可基本要求（CACEB：EA-110）的規(guī)定：環(huán)境管理體系的審核分為二個(gè)階段進(jìn)行。即： 階段審核和第二階段審核。而 職業(yè)衛(wèi)生管理體系認(rèn)證指導(dǎo)委員會(huì)規(guī)定的職業(yè)管理體系的審核分為：初始審核和正式審核二個(gè)階段。二個(gè)體系審核所采用的名稱不同。但仔細(xì)研究每個(gè)階段的審核任務(wù)和審核內(nèi)容后則不難發(fā)現(xiàn)，職業(yè)管理體系審核中的初始審核和正式審核，分別與環(huán)境管理體系的 階段審核和第二階段審核是基本相同的。下面以初始審核為例加以說明。 初始審核的目的為： （1）收集組織職業(yè)狀況及與體系有關(guān)的必要的信息； （2）確定正式審核的可行性及條件； （3）確定審核范圍。 初始審核的內(nèi)容：包括： （1）文件審核； （2）危險(xiǎn)源的識別、風(fēng)險(xiǎn)評價(jià)及基本控制情況； （3）法律法規(guī)的獲取和相關(guān)法規(guī)的符合情況； （4）方針、目標(biāo)和管理方案的合理性； （5）機(jī)構(gòu)和職責(zé)的設(shè)置； （6）內(nèi)審和管理評審的有效性。 以上職業(yè)管理體系初始審核的目的和內(nèi)容與環(huán)境管理體系 階段審核的目的和內(nèi)容幾乎是完全相同的。所以在實(shí)施審核時(shí)，完全可以實(shí)現(xiàn)二個(gè)體系審核的一體化。 2、采用同樣的審核方法 職業(yè)管理體系審核的審核方式和審核方法與環(huán)境管理體系也是相同的。均采取以部門審核為主線、結(jié)合要素審核的方式；現(xiàn)場審核則同樣采用詢問交談，查閱文件和記錄，以及現(xiàn)場查證的方法。因此在審核員實(shí)施審核時(shí)也很容易地將二個(gè)體系的審核融合在一起。 3、一體化審核的實(shí)施 （1）審核員的配置 實(shí)施一體化審核的審核員應(yīng)同時(shí)具備二個(gè)體系注冊審核員的資格。即同一個(gè)審核員既是環(huán)境管理體系 注冊審核員，又是職業(yè)管理體系的 注冊審核員。 （2）審核計(jì)劃的編制 二個(gè)體系的一體化審核應(yīng)該編制同一的審核計(jì)劃，即同一個(gè)審核員在審核每個(gè)部門時(shí)，同時(shí)審核二個(gè)體系。 在確定每個(gè)部門所需的審核時(shí)間時(shí)，既要考慮到該部門的環(huán)境影響的大小，也要考慮到重大風(fēng)險(xiǎn)的多少。對于審核員任務(wù)的分配也要同時(shí)考慮到二個(gè)體系的需要； （3）現(xiàn)場審核檢查表的編制 審核員所準(zhǔn)備的現(xiàn)場檢查表應(yīng)覆蓋兩個(gè)體系的要求。在17個(gè)要素中雖然大部分要求是相同的，但在審核時(shí)也有不少區(qū)別。例如：對要素4.3.1環(huán)境因素（危險(xiǎn)源辨識、風(fēng)險(xiǎn)評價(jià)與風(fēng)險(xiǎn)控制策劃）審核時(shí)，既要審核環(huán)境因素的識別評價(jià)又要審核危險(xiǎn)源的識別評價(jià)；又如：在對4.4.6審核時(shí)，既要審核有關(guān)環(huán)境方面的運(yùn)行控制程序的執(zhí)行，又要審核職業(yè)方面的運(yùn)行控制的情況，不能有任何偏廢。 （4）不符合項(xiàng)的確定 審核員應(yīng)充分理解ISO14001和OHSAS18001兩個(gè)體系在各個(gè)要素上的要求，要根據(jù)兩個(gè)體系的要求，分別確定不符合項(xiàng)。如果一個(gè)事實(shí)僅不符合14001（或18001）某條款的要求，則開14001（或18001）的不符合項(xiàng)；如果同一事實(shí)既不符合14001的要求又不符合18001的要求，也可以開為一個(gè)共用的不符合項(xiàng)。分別注明不符合兩個(gè)標(biāo)準(zhǔn)的要素號。 （5）審核報(bào)告 由于目前我國對于二個(gè)管理體系的認(rèn)證的管理分屬于二個(gè)認(rèn)可委員會(huì)。所以審核組長在編寫體系的審核報(bào)告時(shí)，應(yīng)根據(jù)二個(gè)認(rèn)可委員會(huì)的要求，分別編寫環(huán)境管理體系審核報(bào)告和職業(yè)管理體系審核報(bào)告。 四、OHSAS18001與ISO14001審核中的區(qū)別 由于OHSAS18001與ISO14001體系具有很多共同性，而且審核程序也相同，因此可以實(shí)現(xiàn)兩個(gè)體系的一體系化審核。但在實(shí)施一體化審核時(shí)也不能忽視兩個(gè)體系在審核中的區(qū)別。 首先我們應(yīng)該充分重視兩個(gè)體系各個(gè)管理要素要求的區(qū)別。雖然兩個(gè)體系要素的設(shè)置是相同的，每個(gè)要素的功能也基本相同。但仔細(xì)研究后，你會(huì)發(fā)現(xiàn)，在一部分要素中仍然存在著差別，有的差別甚至還比較大。關(guān)于這方面的內(nèi)容，準(zhǔn)備在另外的文章中討論。 在這里，我們僅討論在一體化體系審核中有關(guān)職業(yè)審核方面應(yīng)注意的問題。 1、要更加重視對現(xiàn)場狀況的審核 由于職業(yè)管理體系中的重大風(fēng)險(xiǎn)分布面廣，可能分布在很多作業(yè)場所，所以審核中要更加重視現(xiàn)場的審核，在現(xiàn)場審核中應(yīng)充分重視以下幾方面的狀況： （1）各類危險(xiǎn)源是否已被辨識出來，是否有遺漏；重大風(fēng)險(xiǎn)的評價(jià)結(jié)果是否合理； （2）高風(fēng)險(xiǎn)場所的設(shè)施是否妥善，例如：防火、防爆、防化學(xué)傷害，防機(jī)械傷害的設(shè)施、設(shè)備是否完善；管理程序和作業(yè)文件是否健全，檢測、報(bào)警、消防以及其他應(yīng)急措施是否處在正常狀態(tài)； （3）危險(xiǎn)作業(yè)及其相關(guān)的控制是否有效，例如：對高空作業(yè)的管理，對動(dòng)火作業(yè)的管理等； （4）作業(yè)環(huán)境與個(gè)人防護(hù)是否符合法規(guī)或程序文件的要求。 2、要更加重視員工意識和對作業(yè)規(guī)程掌握程度的審核 造成事故的原因有兩類：一是物的不狀態(tài)，二是人的不行為，所以既使設(shè)施、設(shè)備方面的不狀態(tài)被控制了，而人的不行為也常常會(huì)造成事故。例如：高空作業(yè)時(shí)不系帶，在有高空墜物的危險(xiǎn)場所不戴帽，機(jī)動(dòng)車輛的疲勞駕駛等。所以審核中要更加重視對作業(yè)人員的審核，特別是與高風(fēng)險(xiǎn)作業(yè)有關(guān)的作業(yè)人員。 3、職業(yè)管理體系的適用范圍 ISO14001環(huán)境管理體系的范圍包括組織的活動(dòng)、產(chǎn)品和服務(wù)；而在OHSAS18001職業(yè)管理體系的適用范圍中，明確規(guī)定“本標(biāo)準(zhǔn)僅適用于職業(yè)，而不適用于產(chǎn)品和服務(wù)。”所以在審核時(shí)要注意：對于企業(yè)所生產(chǎn)的產(chǎn)品在使用中的性能，不包括在范圍之中。在審核時(shí)應(yīng)該注意這一要求。 OHSAS18001和ISO14001是完全能夠?qū)崿F(xiàn)一體化及一體化審核的。這樣做可以為組織節(jié)省管理資源和迎審工作量，對認(rèn)證機(jī)構(gòu)也可以節(jié)省審核工作量，降低審核費(fèi)用，并便于企業(yè)實(shí)現(xiàn)管理上的一體化。因此，推廣兩個(gè)體系的一體化審核有很重要的意義。