产品特点图

　ISO27001认证体系建设分为四个阶段：实施安全风险评估、规划体系建设方案、建立信息安全管理 体系、体系运行及改进。也符合信息安全管理循环PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保护企业信息系统的安全，确保信息安全的持续发展。 　　1、确立范围 　　首先是确立项目范围，从机构层次及系统层次两个维度进行范围的划分。从机构层次上，可以考虑 内部机构：需要覆盖公司的各个部门，其包括总部、事业部、制造本部、技术本部等;外部机构：则包括 公司信息系统相连的外部机构，包括供应商、中间业务合作伙伴、及其他合作伙伴等。 　　从系统层次上，可按照物理环境：即支撑信息系统的场所、所处的周边环境以及场所内保障计算机 系统正常运行的设施。包括机房环境、门禁、监控等;网络系统：构成信息系统网络传输环境的线路介质 ，设备和软件;服务器平台系统：支撑所有信息系统的服务器、网络设备、客户机及其操作系统、数据库 、中间件和Web系统等软件平台系统;应用系统：支撑业务、办公和管理应用的应用系统;数据：整个信息 系统中传输以及存储的数据;安全管理：包括安全策略、规章制度、人员组织、开发安全、项目安全管理 和系统管理人员在日常运维过程中的安全合规、安全审计等。 　　2、安全风险评估 　　企业信息安全是指保障企业业务系统不被非法访问、利用和篡改，为企业员工提供安全、可信的服 务，保证信息系统的可用性、完整性和保密性。 　　本次进行的安全评估，主要包括两方面的内容： 　　2.1、企业安全管理类的评估 　　通过企业的安全控制现状调查、访谈、文档研读和ISO27001的 实践比对，以及在行业的经验上 进行“差距分析”，检查企业在安全控制层面上存在的弱点，从而为安全措施的选择提供依据。 　　评估内容包括ISO27001所涵盖的与信息安全管理体系相关的11个方面，包括信息安全策略、安全组 织、资产分类与控制、人员安全、物理和环境安全、通信和操作管理、访问控制、系统开发与维护、安 全事件管理、业务连续性管理、符合性。 　　2.2、企业安全技术类评估 　　基于资产安全等级的分类，通过对信息设备进行的安全扫描、安全设备的配置，检查分析现有网络 设备、服务器系统、终端、网络安全架构的安全现状和存在的弱点，为安全加固提供依据。 　　针对企业具有代表性的关键应用进行安全评估。关键应用的评估方式采用渗透测试的方法，在应用 评估中将对应用系统的威胁、弱点进行识别，分析其和应用系统的安全目标之间的差距，为后期改造提 供依据。 　　提到安全评估，一定要有方法论。我们以ISO27001为核心，并借鉴国际常用的几种评估模型的优点 ，同时结合企业自身的特点，建立风险评估模型： 　　在风险评估模型中，主要包含信息资产、弱点、威胁和风险四个要素。每个要素有各自的属性，信 息资产的属性是资产价值，弱点的属性是弱点在现有控制措施的保护下，被威胁利用的可能性以及被威 胁利用后对资产带来影响的严重程度，威胁的属性是威胁发生的可能性及其危害的严重程度，风险的属 性是风险级别的高低。风险评估采用定性的风险评估方法，通过分级别的方式进行赋值。 　　3、规划体系建设方案 　　企业信息安全问题根源分布在技术、人员和管理等多个层面，须统一规划并建立企业信息安全体系 ，并终落实到管理措施和技术措施，才能确保信息安全。 　　规划体系建设方案是在风险评估的基础上，对企业中存在的安全风险提出安全建议，增强系统的安 全性和抗攻击性。 　　在未来1-2年内通过信息安全体系制的建立与实施，建立安全组织，技术上进行安全审计、内外网隔 离的改造、安全产品的部署，实现以流程为导向的转型。在未来的 3-5 年内，通过完善的信息安全体系 和相应的物理环境改造和业务连续性项目的建设，将企业建设成为一个注重管理，预防为主，防治结合 的先进型企业。 　　4、企业信息安全体系建设 　　企业信息安全体系建立在信息安全模型与企业信息化的基础上，建立信息安全管理体系核心可以更 好的发挥六方面的能力：即预警(Warn)、保护(Protect)、检测(Detect)、反应(Response)、恢复 (Recover)和反击(Counter-attack)，体系应该兼顾攘外和安内的功能。 　　安全体系的建设一是涉及安全管理制度建设完善;二是涉及到信息安全技术。首先，针对安全管理制 度涉及的主要内容包括企业信息系统的总体安全方针、安全技术策略和安全管理策略等。安全总体方针 涉及安全组织机构、安全管理制度、人员安全管理、安全运行维护等方面的安全制度。安全技术策略涉 及信息域的划分、业务应用的安全等级、安全保护思路、说以及进一步的统一管理、系统分级、网络互 联、容灾备份、集中监控等方面的要求。 　　其次，信息安全技术按其所在的信息系统层次可划分为物理安全技术、网络安全技术、系统安全技 术、应用安全技术，以及安全基础设施平台;同时按照安全技术所提供的功能又可划分为预防保护类、检 测跟踪类和响应恢复类三大类技术。结合主流的安全技术以及未来信息系统发展的要求，规划信息安全 技术包括：

适用范围

为什么选择我们

认为,银行本身没有什么污染,不需要推行ISO14000.实则不然. 银行ISO14000认证也是创建绿色银行活动的组成部分，对加强银行内部环境管理，倡导绿色消费，进行环保宣传，树立银行管理新形象大有益处。而绿色银行成功运行，正是借鉴ISO14000标准的内涵。ISO14000这一科学、严密的管理标准，更是在管理系统上保证绿色银行活动的顺利开展、维持和提高。 一、银行ISO14000认证的环境问题 银行不存在环境问题,几乎是社会的共识.实则不然,从我们的咨询过的银行来看,银行消耗大量的水、电。甚至有些银行不合理的设计造成能源的浪费，使用非环保型的建筑装修材料对人体产生潜在的危害。 因此，银行活动带来的环境问题不容忽视，对银行的污染排放进行控制和预防，建立合理的管家方式并鼓励清洁生产，进行节能降耗，将给银行带来巨大的社会效益和经济效益。 二、银行ISO14000认证的意义 银行ISO14000认证实现银行的可持续发展的需要，越来越多的银行开始意识到环境管理的重要性.银行ISO14000认证可以调动银行环境管理的积极性和主动性，提高银行的管理水平，树立优秀企业形象，从管理上和系统上确保银行持续有效地开展环境管理工作。 1. 银行ISO14000认证有利于节能降耗，降低经营成本 银行ISO14000认证全面分析银行提供的服务、活动中的环境因素和能资源高消耗处，制定改善方案，进行设备改造，提高设备的运行效率，节能降耗。而有些改善工作并不需要投入大量的设备和资金，建立科学的管理方式，培训和教育员工，使他们意识到节约能源的重要性，并积极参与环境保护的工作中。据统计，此项工作，可以使银行的能耗降低10-15%，例如： 节约用电。空调系统的用电量会占银行总电能消耗的50%，减少空调的用电消耗，会给银行带来明显的经济效益。通过对空调进行设备控制，加强日常的维护保养、监测和校准，确保制冷机组 的运行状态。 照明系统用电一般占总用电量的30%，减少照明用电消耗不但节约照明自身用电，而且也减少空调系统的负荷。通过使用高效节能灯，随手关掉不需要的电灯，或在确保照明效果满足客人所需的视觉舒适亮度下减少超额瓦数等多种方法，也可节省用电消耗。重新设计规划银行的内部管理规定，从一些管理细节上进行节约用电。例如： 改变原有的生活习惯，不要将银行的室内温度降至太低，例如夏季推荐温度为24度，冬季推荐21度。在夏季减少热量渗透，冬季减少热量损失，在打扫房间时重新设定房间温度，关闭/打开窗帘以减少/增加阳光的方式，降低夏季对空调，冬季对取暖的需求，终实现节能降耗。在入住率降低时，考虑关闭整个楼层，关闭整个楼层的空调和能资源消耗系统。节约用水。水资源缺乏和水体污染是我国的环境问题，节约用水也是银行环境管理的一个重要内容，除交纳高额的水费和附加排污费外，使用的热水直接消耗大量的锅炉燃料。因此，通过建立环境管理体系，分析识别银行活动中不必要的用水环节，开展节水活动，可以取得一定成效。例如：安装二级水表，对各部门的用水量进行统计，鼓励开展节水活动。银行的用水大户主要是厨房、厕所。当需要时打开水龙头避免浪费水等方法，减少厨房的用水量。 满负荷使用洗衣/洗碗设备、选择经济的洗涤剂；加强定期检查制度，减少设备跑、冒、滴、漏等方法。 2. 银行ISO14000认证能够提高银行员工的环境意识 银行ISO14000认证运用P-D-C-A的管理模式，对银行进行精细化管理。通过实施ISO14000变粗放型管理模式为集约型管理，增强银行的整体管理水平。并全面优化各方面的管理，做到小环境影响， 物耗能耗， 成本，以及 环境风险的控制。 建立环境管理体系的过程也是企业对全体员工进行教育的过程。这个过程要求全员参与，大大提高了员工的环境意识，从自身做起，爱护环境、保护环境。更重要的是，员工的环保意识提高了，工作素质也会提高，并顺势影响到员工的家庭和下一代，产生巨大的社会效益。 3. 银行ISO14000认证提高银行市场竞争力 环境形象对企业发展战略具有越来越重大的影响。许多具有超前意识的企业在激烈的市场竞争中打出“环境牌”，积极建立环境管理体系并申请认证，意在抢占新一轮市场营销的制高点。通过ISO14000认证，提高企业和产品的市场竞争力，树立优秀企业想象；降低成本及资源消耗，实现节能降耗；污染预防；提高企业管理水平和员工的环境意识。一个能对环境负责的企业，它的产品和服务一定能对用户负责，让用户满意。实施ISO14000认证已成为代表企业形象的重要因素，很多获证企业在广告宣传中以此表示本企业对环境的贡献，从而扩大自己的市场份额。银行推行绿色银行活动，建立环境管理体系，减少浪费，提高设备运行效率实现节能降耗的同时，并没有降低服务质量和室内环境。相反，随着人类环境保护意识的不断增强，人们将追求文明生活方式，因此，通过ISO14000认证的银行具有更大的市场占有率。 三、ISO14000标准的特点 ISO14000是一套科学的管理性标准，适合于任何类型的组织。ISO14000与ISO9000标准有很强的兼容性，一个通过ISO90000认证的银行将非常容易的建立ISO14000环境管理体系。ISO14000标准对组织的环境表现没有提出 的要求，仅强调组织的活动符合环境法律法规。通过建立环境管理体系，识别组织活动和服务中的环境问题，推行全过程控制和清洁生产，终实现污染预防、节能降耗、达到企业的永续经营。 ISO14001标准将环境管理体系的要求分成17个要素来描述，当银行的活动符合17个要素的规定时，说明已基本符合ISO14001标准认证的要求。ISO14000标准遵循了由Chailes Demiry 提出的PDCA管理模式：策划（Plan）、实施（Do）、检查（Check）和改进（Action）四个阶段，建立ISO 14000环境管理体系和进行ISO14001认证时，均遵循PDCA的管理要求。 四、银行ISO14000认证在银行实施的具体要求 1. 策划阶段 根据自身的活动特点确定环境方针，建立总体目标，并制定实现目标的具体措施。 在实施过程中，银行应首先制定环境方针，明确环境管理的指导思想。收集银行活动适用的法律与其他要求，识别并评价银行经营活动中的重要环境因素，明确环境管理重点。 银行业可以从能资源的使用情况和环境污染等方面识别环境因素，例如：用电情况、用水情况、设备运行效率、一次性用品的消耗，厨房和洗衣房的污水排放,噪声排放，锅炉废气排放，垃圾的分类处理等。 根据重要环境因素和技术经济条件，银行确定环境目标和指标要求，并提出明确的环境管理方案，确定实现目标的职责、方法和时间表。环境目标可以从污染物达标排放、减少污染、节约能源、降低消耗，提高效率、提高环境保护意识等方面进行考虑。 　2. 实施阶段 为实现总体目标明确职责，制定相关文件化的管理程序和运行标准对活动的全过程实施有效控制。 银行ISO14000认证的实施过程中首先明确组织各部门职责，任命环境管理者代表负责体系的建立；对员工实施必要的培训，提高管理人员、工程技术人员及全体员工的环境保护意识和工作技能；有效地沟通和交流有关环境管理的信息，注重相关方所关注的环境问题。 建立环境管理的体系文件并纳入严格的文件管理，确保重要岗位能按文件规定执行。对重要环境影响的岗位和设备制定运行控制程序，并加以日常的设备维护保养，使各类环境因素得到有效控制。识别银行活动中存在的安全隐患和紧急意外情况，采取有效的预防措施和应急响应。 3. 检查阶段 在活动实施过程中，有计划有针对性对相关活动进行监控，纠正出现偏离目标的现象。 银行ISO14000认证过程中建立严格的检查制度，对重大环境影响活动与设备运行进行监测，对环境绩效和环境目标的完成情况进行监督，及时发现问题并及时采取纠正与预防措施解决问题，防止再次发生。同时定期进行环境管理体系的内部审核，从整体上了解环境管理体系的实施情况，判断体系的有效性和对标准的符合性。建立环境管理活动相应的记录以追溯活动的实施运行状况，对记录进行良好的管理。 4. 改进阶段 银行的 管理者在平时检查的基础上，定期对环境管理体系的适用性、充分性和有效性进行评审，提出进一步改善意见以达到持续改进之目的。银行可根据策划-实施-检查-纠正改进的管理思路建立ISO14000环境管理体系，通过标准宣贯培训，作初始环境调查，进行体系策划，环境管理体系文件的编写和发布，并根据体系文件的要求运行，进行内部审核和管理评审，并 申请ISO14000认证。

---