关于ISO/IEC27018,关于ISO14001环境管理体系现场审核常见问题

关于ISO/IEC27018

ISO/IEC 27001一直沿用至今。为了处理云计算技术所引发的问题，ISO于2014年秋季创立了一项新的标准ISO/IEC 27018。云服务供应商要采用这一标准以确保顾客数据安全，让顾客能够安枕无忧。这一新标准是对ISO/IEC 27001和ISO/IEC 27002标准的扩展，为云服务供应商怎样处理个人可识别信息(PII)的企业提供了指南。对于企业而言，这有点像法律“雷区，原因之一在于《欧盟通常数据保护条例》(EUGDPR)经过长时间才予以通过，不过，首先必须做的是明确一些法律定义。最关键的定义是PII本身，这是所有探讨的基础。

PII被定义为：

(a) 可被用于识别与此类信息相关的PII当事人；

(b) 可直接或间接与PII当事人关联的任何信息。

ISO/IEC27018是公有云服务中个人可识别信息保护的一种行为准则。它在体系结构上沿用了被广泛使用且备受重视的ISO/IEC 27002信息安全控制行为准则的框架。那么，ISO/IEC27018能够为顾客提供什么？它又为何如此重要？

个人数据泄露的潜在风险已成为国际首要议程。大量重大信息安全事件已将人们的注意力引向怎样保护自己的个人详细信息。假如审视一系列安全事件以及受影响的人员的数量，您就会清晰了解这一问题的严重程度：涉及超过2100万名政府雇员的美国人事管理局(US OffiCE of Personnel Management)的数据被窃取；针对英国电信运营商维尔豪思(Carphone Warehouse)的攻击使其200多万顾客受到影响。这些只是2015年1个季度所发生攻击事件的冰山一角。实际上根据泄露等级指数（BREACHLevelIndex,BLI）统计，2015年7.075亿数据被泄露。

而企业对安全的投入比以往更多。根据IDC的统计，到2020年，全球IT安全支出达到1.016亿美元。

许多人已经深谙黑客与社会格格不入的形象；大部分源自外部的攻击均是由组织有序的犯罪团伙或国家资助的机构所操纵，要采取措施应对此类威胁极其困难。另1个更大的潜在风险是企业内部人员蓄意或无意地为攻击“敞开大门。

内部威胁相比之下更加危险，因其往往未被报道或被刻意掩饰。根据普华永道(PricewaterhouseCooper)的研究3，75%遭受因员工所导致的安全攻击的企业既未被执法，也未受到法律指控。这代表着，此类企业的顾客面临遭受攻击的风险，任何在未来雇佣此类人员的公司可能无从知晓其以往的所作所为，从而可能为未来攻击留下可乘之机。

2016年上半年就出现64%已识别的数据泄露盗窃，致使保护个人数据令人如此不安，这也丝毫不足为奇怪，特别是，人们为何对云如此恐惧却对于委托云服务供应商管理数据一直保持着沉默？

正是出于这些原因，欧盟已实施关于数据保护的新法规，试图在整个欧洲大陆协调法律状况。在欧洲，有各种各国特定的数据保护法，这使得云服务供应商的运营极其困难。云能够跨越国际界限，而各个国家的数据安全管理法规却存在差异。

企业和云服务供应商拥有和管理数据的方式也是问题的一部分—存在法律分责的情况。它们代表其顾客管理数据，而顾客则对此类数据所发生的情况承担着法律责任。

企业真正担忧的焦点在于：所有云服务供应商都乐于谈以及安全专业知识、对于数据保护的投入力度以及设置的防范数据威胁的“屏障，但潜在焦虑是云服务供应商是否与顾客采取相同的方式来对待机密数据。

于数据保护领域，欧盟正在引入一致性，而美国的状况则不同。

一些国家缺乏监管个人数据使用方式的国家法规。各个国家的不同政策还可能导致一定程度的混淆。不同行业的不同法规需求又加剧了这种混淆。所有这些因素相结合促使制定一致的数据保护政策绝非易事。

为了解决这一问题，美国国家标准技术研究院(National Institute of StandaRDS Technology, NIST)于2015年8月建议联邦机构“在其任务和决策活动中使用有效和适用的网络安全国际标准。随着美国政府机构实施这些标准，它们将要求其承包商和供应链也符合各种标准的要求。

关于ISO14001环境管理体系现场审核常见问题

1、厂房建设期间环保资料：

1）建设项目环境影响报告书（表）——有资质的评估机构提供的评估报告

2）环境影响报告批复——环保局批复

3）建设项目环境保护“三同时”验收——环保局验收

4）消防验收报告——消防部门验收

2、环境因素识别、评价与更新：

1）环境因素识别不齐全，主要存在以下几种情况：

a、未能充分按生产经营过程的范围来识别，例如：生产经营范围包含有销售，但对销售过程中的环境因素未识别；

b、未能按生产工艺流程的顺序进行识别，识别环境因素没有顺序，最易导致缺漏；

c、未考虑到过去发生过的、将来计划的因素，如：公司拟扩建新厂房，对于扩建厂房过程中存在的环境因素未加以识别；

d、未充分考虑到产品的生命周期来识别，如：产品设计过程中资料的选用，产品报废后的回收处置。

2）环境因素评价不合理，对重要环境因素的明确存在偏差。

3）环境因素未及时更新，如：

a、产品的生产工艺发生了转变，但未对环境因素重新识别、更新；

b、产品的资料发生了转变，未及时对环境因素重新识别、更新；

c、国家、地方法律法规以及他要求发生了转变，未及时对环境因素重新识别、更新；

d、厂房迁移到新址，未及时地环境因素重新识别、更新。

3、重要环境因素的控制策划：

1）未能对所有的重要环境因素明确其控制方法/程序；

2）对重要环境因素的控制要求未能形成相应规定，如程序文件、作业文件或其他方式。

4、法律法规以及他要求的识别、评审

1）法律法规以及他要求识别不充分，特别是地方法规、顾客的要求未识别到位；

2）对相关法律法规以及他要求未进行适用性评审，未能识别到法律法规以及他要求中具体的适用条款；

3）未将法律法规以及他要求分发至相关部门、岗位人员；

4）未及时对法律法规以及他要求进行更新，对已修订、更新、作废的法律法规以及他要求未能及时重新识别、收集、评审。

5、环境目标、指标和管理方案：

1）未能充分考虑到重要环境因素来制定环境目标；

2）对已明确的环境目标未规定其具体的指标，部分指标无法测量；

3）对所有的目标、指标未能予以制定对应的管理方案，管理方案的职责不明确、起止日期不清楚、缺乏资金预算；

4）未能根据管理方案的实施情况及时进行调整、修订，如公司已迁址、执行的环境标准发生了转变等情况下未对管理方案进行修订。

6、组织机构、职责、权限、资源：

1）对各岗位职责、权限中缺少环境管理方面的要求；

2）对关键岗位（如：化验员、机修、清洁工、仓管员、作业员等）未规定其任职能力要求；

3）环保设施的投入不足，如生产污水每天产生120吨，但污水处理站每天的处理能力仅80吨。

7、能力、培训和意识（人力资源管理）：

1）关键岗位人员的配备不足，或能力未能满足要求，如污水处理站的作业员只会用Ph值试纸进行酸碱度的测试，对其他指标的化验不具备能力；

2）全员环境意识培训不足，或有培训但缺乏培训后的考核、培训效果评价；

3）岗位人员对自己所在的岗位存在的重要环境因素不清楚，对重要环境因素的控制方法不熟悉。

8、信息交流：

1）对重要环境因素必须的信息交流未予以规定；

2）未建立外部信息交流的渠道，如当外部相关方（社区居民等）对公司有意见必须投诉时，没有对外公开的投诉电话、信箱或其他方式；

3）对外部相关方的投诉、抱怨未形成记录，未能及时进行处理，处理后未及时对相关方进行回复；

4）缺乏内部相关方的信息交流，如内部宣传、讲座、会议等。

9、文件控制：

1）文件未有分发至具体的岗位，特别是关键岗位处；

2）文件的适宜性未及时进行评审、更新，如法律法规发生了转变，但未及时对相关文件进行适宜性评审，未及时进行必要的更新；

3）文件的形式不适宜，如MSDS资料为英文版，但现场操作人员对英文的识别能力不足。

10、运行控制：

1）运行控制程序中未明确规定规定的标准，如污水/噪声/废气控制程序中未明确执行的是国家或地方的何标准，何时段，何级别标准；

2）未能将运行控制的要求通报至供方，如化学品供应商、工程分包方等等；

3）现场环境运行控制主要存在的缺失：

a、垃圾分类未明确规定，执行不到位，存在可回收、不可回收或危险废物混放的现象；

b、现场由于机械油的泄漏导致的污染未及时清理、纠正；

c、环保设施未能提供维护保养的证据；

d、环保设施的运行不正常，如车间废气抽排系统未运行，或有运行，但排气口处的净化池无水；

e、化学品使用、储存现场未配备MSDS资料；

f、产生粉尘、碎屑的岗位（如砂磨、锯床、刨床、车床等工序）对粉尘、碎屑未进行收集，到处飘洒，也未及时清理；

g、易燃易爆品与其他易燃物混放，危险品未设独立空间存放；

h、污水处理站投药记录不全，未能掌握投药的时间、剂量；

i、废油、废液以以及他危险废物的交接、流转无记录，最终处理无危险废物处理联单（危险废物的处理必须由有资质的机构进行处理，处理时开具统一的处理联单）。

11、应急准备与响应：

1）未能针对潜在的重要环境因素制定对应的应急计划，通常包含消防应急预案、化学品泄漏/爆炸应急预案、环保设施失灵应急预案、自然灾害应急预案；

2）有制定应急计划/预案，但未展开相应的培训、演练；

3）有进行应急演练，但对演练的效果、应急程序进行评价；

4）应急预案执行后或演练后，未对应急程序进行评审，未及时对应急程序进行修订。

12、监测和测量：

1）对监测和测量的策划不足，未明确应进行监测和测量的项目、采取的方法、监测的频率；

2）未对目标、指标和管理方案的执行状况进行监测和测量；

3）未能提供对日常运行管理过程的监控记录；

4）未定期进行噪声、废气/粉尘、废水的监测，应进行至少1年一次的监测，通常委托当地环保监测站或其他有资质的环保监测机构进行；

5）自有监测设备未定期进行校准或检定，如噪声测试仪、污水化验设备等；

6）污水处理站未能提供对污水监测、化验的记录，或有监测但频率不符合文件规定的要求。

13、合规性评价：

1）未形成“合规性评价控制程序”；

2）未能提供合规性评价的证据，至少1年一次；

3）有对环境法律法规的执行情况进行合规性评价，但对其他要求方面未进行合规性评价；

4）合规性评价未能覆盖所有适用的法律法规和其他要求。

14、不符合、纠正措施和预防措施：

1）发生环境不符合情况时，未及时进行处理（纠正）；

2）未识别采取纠正措施和预防措施的时机；

3）对不符合未进行原因分析，纠正措施执行不到位，未能达到再发防止的目的；

4）对潜在不符合未进行原因分析，预防措施不适宜，未能达到防止发生的目的；

5）未对纠正措施和预防措施的实施效果进行评价。

15、内部审核：

1）未对年度内部审核进行策划，如在文件中规定，或形成年度内审计划；

2）内审计划中所列审核内容未能覆盖所有的审核范围；

3）内审组成员的安排缺乏公正性，存在审核自己部门的情况；

4）内审计划中有明确要求审核内容，但检查表中存在缺漏条款的现象；

5）内审不符合报告有形成，但原因分析不到位，纠正措施未能针对原因制定，缺乏针对性；

6）对内审不符合所采取的纠正措施实施效果未进行验证、评价；

7）未形成内审报告；

8）有内审报告，但对体系运行情况的评价仅体现了不符合、不足之处，对于实现的环境绩效未进行评价。

16、记录控制：

1）记录无法检索，无清单，无目录或其他检索方式；

2）记录的保存期限未规定，未按保存期限的要求予以保存；

3）记录保管不当，发生丢失、破损等现象。

17、管理评审

1）管理评审计划中评审内容不全，如缺少环境绩效的评审、上次管理评审后续措施实施结果、与组织环境因素有关的法律法规和其他要求的发展转变等等；

2）管理评审输入信息不足，缺乏相关资料/证据；

3）管理评审输出未能包含环境方针、目标以以及他环境管理体系要素的修改有关的决策和行动；

4）管理评审报告未能体现对体系的适宜性、充分性和有效性的评审结果；

5）管理评审决议事项未明确职责、分工、时限要求；

6）管理评审后续措施的实施情况无记录，无效果验证。