什么组织一般需要建立信息安全管理体系,神木HSE认证怎样与ISO9001认证有效整合

什么组织一般需要建立信息安全管理体系

问题解答：

ISO27001中明确指出，标准中规定的要求是通用的，适用于所有的组织（商业企业、政府机构、非赢利组织），无论其类型、规模大小和业务性质怎样。

ISO27001从组织的整体业务风险的角度，为建立、实施、运行监视、评审、保持和改进文件化的信息安全管理体系规定了要求。ISO27001标准规定了为适应不同组织或其部门的必须而制定的安全控制措施的实施要求。

ISO27001能够作为评估组织满足顾客、组织本身以及法律法规所明确的信息安全要求的能力的依据，无论是自我评估还是独立第三方认证。

就目前国内发展来看，最先明确实施ISMS并考虑接受ISO27001认证的组织，其驱动力都比较明显，这种驱动力能够是外部的，也能够是发自内部的。这些组织主要集中在以下几个行业：

半导体行业：尤其是主业为集成电路芯片制造的组织。由于国内最近几年IC产业发展迅猛，大量国外设计企业的制造订单都飞往国内一些大型的芯片制造企业，鉴于IP（知识产权）保护的重要性，来自国外顾客的明确要求，使得国内芯片制造企业必须在信息安全管理方面做出保证，ISO27001证书就是最好的选择。

软件定制行业：情况与芯片制造企业类似，近些年，承担软件定制开发的许多企业，也面临外部顾客明确提出的信息保护的要求，特别是承接日本、欧美等国外软件定制订单业务的大型软件企业。

金融业和保险业：一直以来，金融和保险行业对信息安全的重视都是非常高的，保护顾客信息、保证业务运行的可靠性和持续性，这都是此行业组织实施ISMS并寻求认证的驱动力。加之金融和保险早些年已经陆续完成了信息基础设施的建设，今后的工作重点将逐渐向全面的信息安全管理方向发展。

通讯行业：特别是一些大型的通信设备提供商，由于牵涉到对自身核心技术的保护，对信息安全加以重视并全面实施信息安全管理体系就成了这些企业必然的选择。

其他行业：只要是牵涉到IP保护的、牵涉到行业规范和法律法规要求的、牵涉到自身发展需求的，组织都会逐渐在信息安全建设上加强力度，就拿美国Sarbanes-Oxley 法案（萨班斯法案，简称SOX法案）而言，由于对在SEC申请注册的上市公司提出了内部控制审核的要求，相关组织必然会在信息安全方面投入关注，由于信息安全控制是企业内部控制必不可少的1个部分。

ISO27001标准所规定的要求是通用的，旨在适用于各种类型、不同规模和业务性质的组织。组织在声明符合ISO27001标准时，对于第 4.信息安全管理体系、5.管理职责、6.ISMS内部审核、7.ISMS管理评审和8.改进条款的内容不能删减。

假如组织删减了4、5、6、7、8条款内容，则不得宣称符合ISO27001标准。

需证明任何控制的删减满足风险接受的准则。应提供证据证明相关风险已被大多数人适当接受。除非删减不影响组织满足风险评估和适用法律要求的信息安全的能力和责任，否则不能声称符合ISO27001标准。

神木HSE认证怎样与ISO9001认证有效整合

神木HSE认证怎样与ISO9001认证有效整合

　一、整合的必要性

企业无论建立哪一种体系，其目的都是从不同的侧重点提高新技术企业业的

管理水平，但企业内部同时运行多种体系，必然会存在不同管理体系分

头管理、文件管理混乱、记录重复填写、企业工作负荷加大等弊端。因

此企业若能进行3个体系的整合，整合后的体系将比目前每种单一体系

要完善得多，会消除多个体系并行可能产生的弊端，从而有效提升企业

管理价值，增加市场竞争力。因此，整合3个体系是十分必要的。

二、ISO9001体系、HSE管理体系、内部控制体系整合的实施

鉴于3个体系的整合具有必要性及可行性，下面我就3个体系整合

的具体措施谈一下自已的观点。

（一）组织机构的整合

在大多数企业，3个体系至少有两个部门分管，最高管理者代表也

分别由两个经理担任，这样势必会出现上面所述的分头管理的弊端。所

以，整合的第1步就是组织机构的整合，由最高管理层授权1个管理者

代表负责3个体系的管理工作，抽调专人成立专职部门，在人员配备上

要充分考虑各专业的需求，明确最高管理者代表、专职部门和相关岗位

人员的职能分配和岗位职责。

（二）过程识别的整合

质量和HSE管理体系关注的过程是企业内部全部的生产经营活动，而

内控体系关注的过程是侧重可能产生财务风险的生产经营活动。因此这

个环节的整合工作可采取质量和HSE管理体系过程识别的要求，对企业内

部全部的生产经营活动进行识别。

（三）风险评估的整合

内控体系的风险评估工作是由股份公司针对财务风险统一制定了风

险数据库，下属地区公司及分公司只要遵照执行。HSE管理体系的风险评

估工作主要是针对企业内部生产经营过程中对健康、安全、环境有影响

的危险因素及环境因素进行识别、评价、明确重大风险、制定防范措施

、管理方案等。在这一环节的整合工作可建议选用如下方法：先进行HSE

管理体系的危险因素、环境因素识别与评价工作，再结合股份公司下达

的内控体系风险数据库，形成一套企业健康、安全、环境、财务风险数

据库。

（四）文件的整合

质量及HSE管理体系有1个比较完整、系统的文件网络，而内控体系

只强调对一些风险点和控制点的关键控制，相对而言，系统性、全面性

欠缺。这样在整合文件时，能够将内控体系执行的文件纳入企业的各项

规章制度中。

（五）记录的整合

质量和HSE管理体系对记录的格式及内容没有统一规定，可由企业根

据工作实际自行设计。内控体系对重要风险关键控制的实施证据由股份

公司统一明确了名称，并且有些实施证据明确规定了表格的格式。因此

在记录整合时，一定要兼顾各体系的要求，保持两套体系记录的一致性

。

（六）内部审核工作的整合

3个体系整合后内审工作也应进行整合，统一进行。在审核人员的

安排上，要充分考虑各专业的需求，合理配置。在审核内容上，要兼顾

质量和HSE管理体系审核和内控体系测试内容的要求，统一计划、统一实

施。

（七）控制环境的整合

内控体系的控制环境包含职业道德、员工的胜任能力、管理理念和

经营风格、组织结构、人力资源政策与措施、权利和责任的分配以及反

舞弊等内容；质量及HSE管理体系主要是在管理职责和资源配置上做了明

确规定，它的要求不如内控体系的全面。因此，这部分的整合，能够内

控体系控制环境的内容为基础，兼顾其它两个管理体系的一些要求建立

整合后控制环境部分的内容。