iso14000:2015認證環境因素在哪些情況發生變更？ iso14000:2015認證環境因素發生以下情況需要重新更新時，應重新識別評價，特別要注意重要環境因素的更新。 a.適用法律、法規發生變化及 、地方或待業標準發生變化； b.本公司擴大經營范圍及改變經營項目； c.每年內審、外審或管理評審后涉及到環境因素的變化或發生嚴重不符合項； d.主要生產材料及工藝方法有重大變化； e.重要設備、設施發生重大變化；

1.ISO9000標準簡介 ISO是“國際標準化組織”的英語簡稱。其全稱是InternationalOrganizationforStandardization。ISO標準由技術委員會（TECHNICALCOMMITTEES簡稱TC）制訂。ISO共有200多個技術委員會，ISO9000是指質量管理體系標準，它不是指一個標準，而是一族標準的統稱。ISO9000是由TC176（TC176指質量管理體系技術委員會）制定的所有國際標準。ISO9000是ISO發布之12000多個標準中暢銷、普遍的產品。 2.ISO9000族標準的構成 2008版ISO9000族標準包括以下一組密切相關的質量管理體系核心標準： a.ISO9000《質量管理體系結構基礎和術語》，表述質量管理體系基礎知識，并規定質量管理體系術語。 b.ISO9001《質量管理體系要求》，規定質量管理體系要求，用于證實組織具有提供滿足顧客要求和適用法規要求的產品的能力，目的在于增于顧客滿意。 c.ISO9004《質量管理體系業績改進指南》，提供考慮質量管理體系的有效性和效率兩方面的指南。該標準的目的是促進組織業績改進和使顧客及其他相關方滿意。 d.ISO19011《質量和(或)環境管理體系審核指南》 3.推行ISO9000的好處 a.強化品質管理，提高企業效益；增強客戶信心，擴大市場份額 b.獲得了國際貿易綠卡----“通行證”，了國際貿易壁壘 c.節省了第二方審核的精力和費用 d.在產品品質競爭中永遠立于不敗之地 e.有利于國際間的經濟合作和技術交流 f.強化企業內部管理，穩定經營運作，減少因員工辭工造成的技術或質量波動。 g.提高企業形象 4.ISO9000：2008標準的主要變化 相對于ISO9001:2000版標準，ISO/DIS9001:2008標準的主要變化包括： (1)有關法律法規的要求方面。在“引言”中，有修改 (2)有關產品范圍的方面。 (3)有關外程方面。在“4.1總要求”中， (4)有關形成文件的程序方面。 (5)有關外來文件方面。在“4.2.3文件控制f)條 (6)有關管理者代表方面。 (7)有關人力資源方面。在“6.2.2能力、培訓和意識b)、c) (8)有關基礎設施方面。在“6.3基礎設施 (9)有關工作環境方面。在“6.4工作環境”中，增加了“注” (10)有關交付后活動的方面。在“7.2.1與產品有關的要求的確定”中，增加“注” (11)有關設計和開發策劃方面。在“7.3.1設計和開發策劃”中，增加“注” (12)有關設計和開發輸出方面。在“7.3.3設計和開發輸出”中，增加了“注” (13)有關監視和測量狀態標識方面。在“7.5.3標識和可追溯性”有修改 (14)有關顧客財產方面。在“7.5.4顧客財產”中，將“注”修改，表明個人信息也屬于顧客財產。 (15)有關監視和測量裝置的控制方面。在“7.6監視和測量裝置的控制”中，增加了“注”，對使用計算機軟件的情況給出了說明。 (16)在顧客滿意方面。在“8.2.1顧客滿意”中增加了“注”。對監視顧客感受方面給出了進一步的說明。 (17)有關過程的監視和測量方面。在“8.2.3過程的監視和測量”中，增加了“注”，對識別和控制所需監視和測量的過程做了說明。 (18)有關放行產品和交付服務方面。在“8.2.4產品的監視和測量”有修改 ISO代表國際標準化組織，它是由多個 標準機構組成的國際聯盟。ISO現已有100多個成員。ISO9000是一個質量體系標準系列的統稱。 國軍標GJB9001B-2009 一、實施軍品認證工作的依據 1.《中國人民解放軍裝備條例》第143條規定“質量體系評定不合格的單位不能承擔裝備科研、生產和維修任務”。 2.總裝備部對《裝備承制單位資格審查規范（試行）》中規定：需審查第三方質量管理體系認證的有效性。 3.中國人民解放軍總裝備部裝電字[2001]第220號規定，國軍標《質量管理體系要求》是各裝備管理部門對軍品承制單位提出質量管理體系要求和實施質量管理體系審核的依據。 4.軍工產品質量體系認證委員會《軍工產品承制單位質量保證體系認證管理實施細則》。 二、申請軍品認證條件及要求 1.申請GJB9001B認證組織是為實施和保障軍事行動的武器、武器系統和軍事技術器材承擔論證、研制、生產、維修任務的組織，或是與之配套的整機、部件、組件、器件和材料生產組織，或是為武器裝備進行試驗、貯存和工程建設等的組織； 2.初次認證申請組織，申請書需請軍方用戶簽署意見并蓋章確認，同時填寫《產品所在階段情況調查表》。如該申請組織是部隊，可由上級主管部門簽字、蓋章。對于民營企業申請軍品時，需有軍代表的意見書，其內容至少包括：人員狀況；技術、設備情況；產品質量狀況；對配套企業，要注明產品與裝備的關系(用在什么地方)；說明生產的產品與軍方單位的關系。 3.認證審核前按GJB9001B－2009標準建立管理體系，并運行3個月以上時間。有軍品訂貨及交付發生，且現場審核時應有軍品生產。 4.現場審核時由上述軍代表和認證中心審核組進行溝通座談并形成《軍代表對受審核方質量體系有效性意見評價表》。 三、軍品認證注冊的性質 1.軍品認證注冊是政府和軍方的行為，反映和代表了武器裝備顧客的利益； 2.認證注冊具有事實上的強制性，國軍標質量管理體系認證說明了組織承擔軍品任務的能力； 3.認證機構無權批準給受審方發。批準權在軍工產品質量體系認證委員會。委員會是由總裝備部領導、各軍兵種裝備部門領導以及工業部門、專家代表組成的軍品質量管理體系合格評定領導機構，具有權威性和廣泛的代表性。 四、初次審核、監督審核、綜合評議和特殊審核 1.初次審核分二個階段進行。 階段審核主要涉及：文審、與軍代表或顧客座談、了解體系的建立與運行情況、確認審核范圍及標準刪減內容等。第二階段現場審核通常在 階段審核提出問題關閉后進行，并與 階段間隔時間不超過4個月，以審核計劃安排為準。第二階段審核是全部門、全產品、全過程、全要求覆蓋的符合性審核。 2.獲準注冊的有效期為4年，認證周期以注冊時間為開始。在此期間通常進行3次監督審核(不含非例行)，時間間隔不超過12個月一次。 3.綜合評議應在有效期截止前至少12個月由獲證組織向中心提出申請，遲于有效期截止前6個月且距離上次監督審核不超過12個月進行。 4.在有效期內對涉及體系變更、地址搬遷、產品范圍的增減等均需按要求進行變更部分的特殊審核，并換發新認證。特殊審核可結合監督審核時間進行。 5.如出現嚴重影響獲證組織的活動和運作的變更（如所有權、人員、現場、設備等）時，或者對投訴、其他信息的分析表明獲證組織可能影響認證要求時，中心需進行非例行的監督審核或提前綜合評議。 6.在認證注冊有效期內的換發情況，須同時交回原。 五、軍品認證注冊呈報審批程序 經認證中心主任審查---報軍認委秘書長審批---報工業主管部門的軍認委委員審批---報認證產品顧客所涉及到的軍認委委員審批---報軍認委副主任委員審批---報軍認委主任委員審批---頒發。 備注：GJB9001B-2009于2010年4月1日實施。參照 標準換版的做法,GJB9001A-2001向GJB9001B-2009轉換的時間為兩年(2010年4月1日至2012年3月31日)。 軍用產品的顧客是軍方，軍方對軍用產品的要求和期望代表了 的需求。因此，在GJB9001B-2009中除了充分體現滿足軍方對產品質量和質量管理體系的要求外，還增加了資質的某些質量活動要征求顧客同意的內容。這樣做既可以加強組織與顧客的溝通，落實顧客的監督，也充分體現了以顧客為關注焦點的思想。但值得注意的是，顧客的認可或同意，不能造成責任的轉移，不能免除組織提供符合要求事項的責任。

ISO27000認證信息風險評估FAQ 深圳ISO27000認證為什么要進行信息風險評估？ 　　通過風險評估，你可以知道組織范圍內存在哪些重要的信息資產、信息處理設施及其面臨的威脅，發現技術和管理上的脆弱點，綜合評估現有綜合資產的風險狀況。 什么是信息風險評估？ 　　風險評估：對信息及信息載體、應用環境等各方面風險進行辨識和分析的過程，是對威脅、影響、脆弱性及三者發生的可能性的評估。它是確認風險及其大小的過程。 　　風險評估為管理層確定具體的策略，以及在“成本-效益”平衡基礎上做決策服務；風險控制措施為組織實施信息的改進提供指導。 信息風險評估的實施的主體是什么？ 　　風險評估可分為自評估和檢查評估兩大類。自評估是由被評估信息系統的擁有者依靠自身的力量，對其自身的信息系統進行的風險評估活動。檢查評估則通常是被評估信息系統的擁有者的上級主管或業務主管發起的，旨在依據已經頒布的法規或標準進行的，具有強制意味的檢查活動，是通過行政手段加強信息的重要措施。 　　檢查評估應該是具有一定資質的風險評估服務機構實施的。自評估可以在信息風險評估服務機構的咨詢、服務、培訓下，由系統所有者和評估服務機構共同完成。 信息風險評估的政策依據及標準依據？ 　　 信息化領導小組《關于加強信息保障工作的意見》(中辦發[2003]27號文件)將信息風險評估作為一項重要的舉措。國信辦2005年5號文率先在北京、上海、黑龍江、云南等地，以及銀行、稅務、電力三個行業進行試點，根據試點經驗，各省市建立信息風險評估管理制度。 　　 國信辦標準草案《信息風險評估指南》、《信息風險管理指南》 　　 NIST SP800-30 《Risk Management Guide for Information Technology Systems》 信息風險評估包括哪幾個主要實施階段？ 　　風險評估可以分為資產識別、重要資產賦值、威脅分析、脆弱性識別、風險計算、風險控制措施提出等實施階段。 信息風險評估的主要內容及方法？ 　　信息風險評估的實施主要有以下內容： 　　 （1）資產識別 　　 （2）資產的屬性賦值及權重計算 　　 （3）威脅分析 　　 （4）薄弱點分析 　　 （5）威脅發生可能性及影響分析 　　 （6）風險計算 　　 （7）風險處理計劃制定 　　 風險評估是一項綜合的系統工程，既涉及到技術，又涉及到管理。風險評估過程中既需要采用技術的檢測手段，又需要進行綜合的歸納、總結和分析方法。 　　 風險評估中資產價值的判斷、威脅判斷、事件造成影響的判斷標準都需要根據被評估實際情況，與被評估方共同確定。 信息風險評估是否會影響系統的業務正常運行？ 　　除針對服務器的漏洞掃描、診斷及滲透性測試外，風險評估不會對系統的業務運行造成影響。即使是滲透性測試，也僅僅是為了驗證漏洞存在給系統可能造成的后果（如文件竊取、控制修改關鍵程序/進程等），而不是以破壞系統為目的。評估人員在執行滲透性測試前，會將詳細的滲透測試方案與用戶交流，包括滲透測試對象、測試強度、可能后果、提前備份等要求，并經用戶認可后方能實施。 信息風險評估的結果形式是什么？ 　　信息風險評估在評估過程中將生成一系列的風險評估操作記錄，包括：重要資產列表、脆弱性匯總表、資產威脅識別表、資產威脅風險系數表、信息資產綜合風險值表等， 將生成三份評估結果： 　　 脆弱性評估報告：以資產為核心，描述該資產存在的薄弱點。 　　 風險評估報告：反映了風險評估整個過程、方法、內容及風險結果。 　　 風險處理計劃：針對識別的風險，提出具體的控制目標和控制措施。 信息風險評估的周期有多長　 　　信息風險評估沒有確定的時間周期，一般兩年一次進行定期的評估，但當組織新增信息資產、系統發生重大變更、業務流程發生重大變化、發生嚴重信息事故等情況下應進行風險評估。 　　 此外，對系統規劃、擴建時也需要進行風險評估，為需求、策略的制定提供依據。 信息風險評估的收費標準　 　　根據評估對象的不同而不同。風險評估的對象可以是：單個獨立的信息系統、支持組織業務的整體信息處理環境、整個組織范圍。信息風險評估的費用主要依據以下幾個方面進行核算： 　　 網絡規模 　　 聯網單位或客戶端抽樣比例 　　 被評估系統的多少 　　 被評估信息設備的多少 　　 被評估的組織范圍大小