客服热线:
手机版
二维码
我国实施ISO14000系列标准应注意什么问题
我国实施ISO14000系列标准应注意什么问题
①实施ISO14000系列标准,要以中国国家和地方环境保护法律法规、标准、规章制度以及各级行政管理部门有关环境保护的决定为依据。组织制定的环境保护方针、政策、目标要以国家”九五”和2010年远景目标为依托,确保区域环境目标的实施,实现总量控制。
②实施ISO14000系列标准,要与全过程污染控制,清洁生产及组织管理相结合。环境管理是组织管理的一部分,因此环境管理必须贯穿在组织管理之中,组织应把全过程控制污染、清洁生产,作为组织的环境方针、目标纳入环境管理体系之中,促进组织节能、降耗、减污。在组织管理过程中体现防治污染。
③实施ISO14000系列标准,要与现行的各项环境管理规范相结合,要把有关制度的基本要求纳入环境管理体系之中。审核认证前,把是否遵守中国的环保法律法规、标准、总量控制指标作为组织申请认证的基本条件;审核认证中,把是否贯彻了环境管理规范作为审核内容之一。从而使ISO14000系列标准的实施更具有中国特色,符合中国国情。
④实施ISO14000系列标准,认证公司、咨询机构应按有关规定和各自职能分别开展相应工作。
⑤要加强环境管理体系认证人员和咨询人员的培训,提高环境管理体系咨询,审核认证工作的质量,为改善中国环境管理状况,获得国际认可创造条件。
⑥加强对认证工作的监督。
今日通过对《我国实施ISO14000系列标准应注意什么问题》的学习,相信你对认证有更好的认识。假如要办理相关认证,请联络我们吧。
我国小微企业信息安全管理问题的原因分析
小微企业不仅在信息安全技术与大企业有较大的差距,更重要的是信息安全管理状况也不容乐观,普遍有重视安全技术,轻视安全管理的现象存在。国家发展改革委小微企业司在年前曾发表一项《二零零六年中国小微企业信息化调查报告》, 结果显示有80%的被访小微企业只配有5名以下的信息技术人员。随着全球信息化的发展,信息安全对小微企业将会变得越加重要, 其内部组织管理、相关技术力量却任然薄弱。总结我国小微企业信息安全安全问题的原因主要有一些几个方面:
1、信息安全管理意识不强。
相对大型企业而言,小微企业信息资产方面的积累相对较为薄弱,并且许多情况下这种积累并非企业的有意识行为,因此在正常的信息化应用情况下,往往会忽视对自己信息资产的保护,而仅有在信息资产受到破坏,形成了实际的经济和附加损失的情况下,才会开始意识和重视这信息安全问题,能够说,这种小微企业的信息资产管理现状,是造成小微企业信息安全问题的主要内因之一。受社会文化环境等综合因素的影响,国人往往对于安全防范存在一种惰性和漠视,而联络到实际,小微企业员工甚至管理者普遍都存在着安全意识薄弱的问题,例如:在实施信息安全项目的过程中,经常能够遇到企业员工安装公司不容许使用的软件、中止安装在自己个人电脑上的安全产品顾客端等诸如此类的事件,造成这些问题的原因是多种多样的,但发生这种情况的最核心因素,是这些员工没有足够的信息安全意识,他们往往由于自己的便利而违反信息安全规章,也往往意识不到自己的这种行为,会将其他同事甚至整个企业的信息资产推向危险的境地。这给我们1个最重要的启示:安全设施的建立只是企业信息安全的第1步,而怎样在构建完成的信息安全体系中有效彻底的贯彻事先制订的信息安全策略以及不断提高新技术企业业的全员信息安全意识是信息安全管理工作工作更重要的部分。要达到这样的目标,必须企业决策层的大力支持、定期实施安全培训教育以及定期评估和调整安全政策,这样才能保证企业安全体系处于积极活跃的健康状态。
2、信息安全管理水平较低信息安全风险较大。
目前的小微企业管理层人员尽管已经认识到了信息化的重要性,但却没有认识到企业信息化管理是必须在企业管理念上进行根本变革才能实现的。尽管有一些小微企业采用了现代通信、计算机、网络技术来构建信息系统,以提高新技术企业业的效率与竞争能力,但相应的管理措施没有到位,如系统的运行、开发等岗位不清、维护、职责不分,经常一人身兼数职。信息安全大约70%以上的问题都是由管理方面的原因造成的。他们大多是按照原有的管理模式进行改造,结果造成一种信息化的假象,致使“信息化走向了徒有其表的误区,信息安全也没有得到足够重视。
3、人才短缺专业人员匮乏。
小微企业通常很难有足够的吸引力留住信息化及信息安全这一领域的人才。因此,在这种人才短缺的情况下,自然影响到企业信息化的进程。主要表现为:企业通常没有自己的信息化建设人才队伍。
信息技术专业人员的知识结构也不能达到要求,掌握技术的不懂管理,懂管理的又不会技术,并且信息安全往往没有专业人员进行管理。
客观的说信息安全领域的知识和技能在信息技术领域应归类于高阶层面,由于信息安全从业人员不只纵向上要对各项工作有精深的理解,横向上还必须对信息系统的整体逻辑乃至企业的业务逻辑有深刻的认知,特别对于信息安全管理的经验有很高的要求,这从很大程度上造成了小微企业难以具备足够的技术力量来保障信息安全设施的运行;其实抛开信息安全技术力量储备不论,即使是应用层面的信息技术力量,在小微企业中也经常出现不敷使用的情况,即使许多较大规模的中型企业,往往也只能做到保证有专人负责信息化工作而已,而越向更小规模的企业探究,愈会发现这种技术力量不足的情况所造成影响,并且在没有专职信息技术人员的情况下,信息化事务所必须的时间和资源往往与公司正常业务运营发生正面冲突,使具体情况更趋恶化,并且这个问题往往会造成恶性循环,即信息安全专业人员的缺乏,不仅造成了信息安全理念的传播无法形成内部源头,也导致了在评估投入时难于做出正确决策。
4、资金短缺。
小微企业的资金状况决定了其信息化投入遇到的限制相对较多。企业相对有限的资金,通常要优先投入到直接促进公司业绩增长的方向,而无形中就造成了信息资产所面临的巨大风险;特别是在当今越来越多的企业业务与互联网有密切的联络,甚至一些企业的业务完全建立在互联网之上,以平均不到企业总收入1%的信息安全投入,怎么能保障这些业务的正常运行?尽管小微企业不可能动辄拿出几十万乃至上百万的资金用于信息安全系统建设,但还是应该针对自身情况,尽可能使投入占比接近常规,至少应该使企业核心信息资产的安全得到保证,从具体情况来讲,在良好的安全理念指导下,进行细致的规划和评估,通过适当的投入也是能够达到较好的整体效果,由于在小微企业的应用情境下,信息安全防御广度是相对容易控制的;小微企业对信息安全产品的要求也不是简约版产品这么简单,在达到基本性能和功能要求的基础之上,还必须充分考虑小微企业的应用方式及习惯,设计出体现其规律和特点的真正适合小微企业的信息安全产品,才能从根本上满足小微企业信息安全需求。此外不得不重申的是,购置安全产品仅仅只是企业信息安全工作的步骤之一,我们不能只将眼光放在产品的选择上,相关的安全政策制订、培训计划的选择以及实施等问题也是信息安全投入不可或缺的组成部分,这些“软性投入对企业信息安全的影响往往更加深远,更加必须企业决策者仔细考量,由于在投入受限的情况下,往往会造成决策层只注重硬件设施投入而不注重管理实施的开展,以及将有限的投入支出在局部问题上,从而造成信息安全“短板效应,进而无法保证信息安全设施的完整性,最终造成信息安全实施的失败。
5、小微企业的信息伦理意识不强。
由于某些员工的信息伦理原因而带来的信息安全问题屡见不鲜。在许多情况下,企业的员工都会由于某些不经意的行为对企业的信息资产造成破坏。尤其是在小微企业中员工的信息安全意识往往相对比较落后,对于互联网上存在的威胁往往缺乏足够的重视,而企业的管理层对于网络的使用也没有很好的管理手段。因此,员工对企业网络的误用滥用行为常使安全情况更加恶化,误用滥用网络带来了恶意攻击、企业机密数据泄露、感染病毒木马、员工工作效能大幅下降等问题。
从上述分析能够看出企业不但要重视外来防范, 更要注意内部的信息安全保护。企业的信息安全包含安全策略、技术、管理等等复杂的因素, 而非技术、产品就能解决的。小微企业的信息安全保护, 必须一整套从内部核心到边界再到边界外的完整的信息安全管理机制。由于小微企业自身规模小、资金有限,安全建设必须特别考虑经济问题, 力求成本低、可靠性高和实用性强的安全解决方案。
ISO27001是一套全面严谨的信息安全管理体系,旨在协助各种不同类型和规模的组织实施并运行有效的信息安全管理,从而增强企业识别、防止、减少和控制组织信息安全风险的能力。小微企业也能够运用 ISO27001信息安全管理系统的一些方法和措施提高自己的信息安全管理水平。
