ISO27001認(rèn)證體系建設(shè)分為四個階段：實施風(fēng)險評估、規(guī)劃體系建設(shè)方案、建立信息管理 體系、體系運行及改進(jìn)。也符合信息管理循環(huán)PDCA(Plan-Do-Check-Action)模型及ISO27001要求， 即有效地保護(hù)企業(yè)信息系統(tǒng)的，確保信息的持續(xù)發(fā)展。 　　1、確立范圍 　　首先是確立項目范圍，從機(jī)構(gòu)層次及系統(tǒng)層次兩個維度進(jìn)行范圍的劃分。從機(jī)構(gòu)層次上，可以考慮 內(nèi)部機(jī)構(gòu)：需要覆蓋公司的各個部門，其包括總部、事業(yè)部、制造本部、技術(shù)本部等;外部機(jī)構(gòu)：則包括 公司信息系統(tǒng)相連的外部機(jī)構(gòu)，包括供應(yīng)商、中間業(yè)務(wù)合作伙伴、及其他合作伙伴等。 　　從系統(tǒng)層次上，可按照物理環(huán)境：即支撐信息系統(tǒng)的場所、所處的周邊環(huán)境以及場所內(nèi)保障計算機(jī) 系統(tǒng)正常運行的設(shè)施。包括機(jī)房環(huán)境、門禁、監(jiān)控等;網(wǎng)絡(luò)系統(tǒng)：構(gòu)成信息系統(tǒng)網(wǎng)絡(luò)傳輸環(huán)境的線路介質(zhì) ，設(shè)備和軟件;服務(wù)器平臺系統(tǒng)：支撐所有信息系統(tǒng)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、客戶機(jī)及其操作系統(tǒng)、數(shù)據(jù)庫 、中間件和Web系統(tǒng)等軟件平臺系統(tǒng);應(yīng)用系統(tǒng)：支撐業(yè)務(wù)、辦公和管理應(yīng)用的應(yīng)用系統(tǒng);數(shù)據(jù)：整個信息 系統(tǒng)中傳輸以及存儲的數(shù)據(jù);管理：包括策略、規(guī)章制度、人員組織、開發(fā)、項目管理 和系統(tǒng)管理人員在日常運維過程中的合規(guī)、審計等。 　　2、風(fēng)險評估 　　企業(yè)信息是指保障企業(yè)業(yè)務(wù)系統(tǒng)不被非法訪問、利用和篡改，為企業(yè)員工提供、可信的服 務(wù)，保證信息系統(tǒng)的可用性、完整性和保密性。 　　本次進(jìn)行的評估，主要包括兩方面的內(nèi)容： 　　2.1、企業(yè)管理類的評估 　　通過企業(yè)的控制現(xiàn)狀調(diào)查、訪談、文檔研讀和ISO27001的 實踐比對，以及在行業(yè)的經(jīng)驗上 進(jìn)行“差距分析”，檢查企業(yè)在控制層面上存在的弱點，從而為措施的選擇提供依據(jù)。 　　評估內(nèi)容包括ISO27001所涵蓋的與信息管理體系相關(guān)的11個方面，包括信息策略、組 織、資產(chǎn)分類與控制、人員、物理和環(huán)境、通信和操作管理、訪問控制、系統(tǒng)開發(fā)與維護(hù)、安 全事件管理、業(yè)務(wù)連續(xù)性管理、符合性。 　　2.2、企業(yè)技術(shù)類評估 　　基于資產(chǎn)等級的分類，通過對信息設(shè)備進(jìn)行的掃描、設(shè)備的配置，檢查分析現(xiàn)有網(wǎng)絡(luò) 設(shè)備、服務(wù)器系統(tǒng)、終端、網(wǎng)絡(luò)架構(gòu)的現(xiàn)狀和存在的弱點，為加固提供依據(jù)。 　　針對企業(yè)具有代表性的關(guān)鍵應(yīng)用進(jìn)行評估。關(guān)鍵應(yīng)用的評估方式采用滲透測試的方法，在應(yīng)用 評估中將對應(yīng)用系統(tǒng)的威脅、弱點進(jìn)行識別，分析其和應(yīng)用系統(tǒng)的目標(biāo)之間的差距，為后期改造提 供依據(jù)。 　　提到評估，一定要有方法論。我們以ISO27001為核心，并借鑒國際常用的幾種評估模型的優(yōu)點 ，同時結(jié)合企業(yè)自身的特點，建立風(fēng)險評估模型： 　　在風(fēng)險評估模型中，主要包含信息資產(chǎn)、弱點、威脅和風(fēng)險四個要素。每個要素有各自的屬性，信 息資產(chǎn)的屬性是資產(chǎn)價值，弱點的屬性是弱點在現(xiàn)有控制措施的保護(hù)下，被威脅利用的可能性以及被威 脅利用后對資產(chǎn)帶來影響的嚴(yán)重程度，威脅的屬性是威脅發(fā)生的可能性及其危害的嚴(yán)重程度，風(fēng)險的屬 性是風(fēng)險級別的高低。風(fēng)險評估采用定性的風(fēng)險評估方法，通過分級別的方式進(jìn)行賦值。 　　3、規(guī)劃體系建設(shè)方案 　　企業(yè)信息問題根源分布在技術(shù)、人員和管理等多個層面，須統(tǒng)一規(guī)劃并建立企業(yè)信息體系 ，并終落實到管理措施和技術(shù)措施，才能確保信息。 　　規(guī)劃體系建設(shè)方案是在風(fēng)險評估的基礎(chǔ)上，對企業(yè)中存在的風(fēng)險提出建議，增強(qiáng)系統(tǒng)的安 全性和抗攻擊性。 　　在未來1-2年內(nèi)通過信息體系制的建立與實施，建立組織，技術(shù)上進(jìn)行審計、內(nèi)外網(wǎng)隔 離的改造、產(chǎn)品的部署，實現(xiàn)以流程為導(dǎo)向的轉(zhuǎn)型。在未來的 3-5 年內(nèi)，通過完善的信息體系 和相應(yīng)的物理環(huán)境改造和業(yè)務(wù)連續(xù)性項目的建設(shè)，將企業(yè)建設(shè)成為一個注重管理，為主，防治結(jié)合 的先進(jìn)型企業(yè)。 　　4、企業(yè)信息體系建設(shè) 　　企業(yè)信息體系建立在信息模型與企業(yè)信息化的基礎(chǔ)上，建立信息管理體系核心可以更 好的發(fā)揮六方面的能力：即預(yù)警(Warn)、保護(hù)(Protect)、檢測(Detect)、反應(yīng)(Response)、恢復(fù) (Recover)和反擊(Counter-attack)，體系應(yīng)該兼顧攘外和安內(nèi)的功能。 　　體系的建設(shè)一是涉及管理制度建設(shè)完善;二是涉及到信息技術(shù)。首先，針對管理制 度涉及的主要內(nèi)容包括企業(yè)信息系統(tǒng)的總體方針、技術(shù)策略和管理策略等?？傮w方針 涉及組織機(jī)構(gòu)、管理制度、人員管理、運行維護(hù)等方面的制度。技術(shù)策略涉 及信息域的劃分、業(yè)務(wù)應(yīng)用的等級、保護(hù)思路、說以及進(jìn)一步的統(tǒng)一管理、系統(tǒng)分級、網(wǎng)絡(luò)互 聯(lián)、容災(zāi)備份、集中監(jiān)控等方面的要求。 　　其次，信息技術(shù)按其所在的信息系統(tǒng)層次可劃分為物理技術(shù)、網(wǎng)絡(luò)技術(shù)、系統(tǒng)技 術(shù)、應(yīng)用技術(shù)，以及基礎(chǔ)設(shè)施平臺;同時按照技術(shù)所提供的功能又可劃分為保護(hù)類、檢 測跟蹤類和響應(yīng)恢復(fù)類三大類技術(shù)。結(jié)合主流的技術(shù)以及未來信息系統(tǒng)發(fā)展的要求，規(guī)劃信息 技術(shù)包括：

齊ISO50001認(rèn)證信息交流? ISO50001認(rèn)證信息交流包括內(nèi)部溝通與外部溝通，企業(yè)應(yīng)根據(jù)不同的溝通對象采取不同的溝通方式，保障信息傳遞的順利、暢通。 一、信息交流的內(nèi)容 內(nèi)部交流的信息主要包括：各部門的職能； 管理者和管理層的節(jié)能決策；能源管理手冊、程序文件及作業(yè)指導(dǎo)書；適用的法律法規(guī)、政策標(biāo)準(zhǔn)及其他要求；能源方針、能源目標(biāo)指標(biāo)實現(xiàn)情況；能源基準(zhǔn)、能源績效參數(shù)；識別評價出的能源使用及主要能源使用；節(jié)能技術(shù)或管理經(jīng)驗；對影響能源績效的關(guān)鍵特性定期監(jiān)視、測量和分析的結(jié)果；能源管理實施方案的實施情況及效果；能源評審、內(nèi)部審核、管理評審及外部評價的結(jié)果；不符合及糾正措施；體系運行的信息，如生產(chǎn)運行調(diào)度信息、能源績效參數(shù)及時反饋信息。 外部交流的信息主要包括：企業(yè)的概況；企業(yè)能源管理手冊、能源方針、能源目標(biāo)指標(biāo)；法律法規(guī)、政策標(biāo)準(zhǔn)和其他要求的更新；節(jié)能主管部門及有關(guān)部門對能源利用的要求及發(fā)布的政策，如節(jié)能監(jiān)察機(jī)構(gòu)出具的節(jié)能監(jiān)察報告；外部機(jī)構(gòu)對于企業(yè)能源利用效率的反饋，如能源利用檢測報告、能源審計報告、熱工測試報告等；與產(chǎn)品、能源利用有關(guān)的信息；能源基準(zhǔn)、能源標(biāo)桿的信息；與企業(yè)能源績效有關(guān)的信息，包括發(fā)展趨勢；可供采用的改進(jìn)能源績效的信息；財務(wù)信息，如成本節(jié)約或能源項目投資；成熟先進(jìn)的管理方法和節(jié)能技術(shù)；其它需要與外部溝通的信息。 二、信息交流的方式 1.內(nèi)部交流的方式 如運行調(diào)度指揮系統(tǒng)、文件、會議紀(jì)要、公告欄、意見箱、網(wǎng)站、電子郵件、日常生產(chǎn)高度會議、內(nèi)部談話、ERP辦公系統(tǒng)等。 2.外部交流的方式 三、信息交流的原則 1.準(zhǔn)確原則 2.及時原則 3.優(yōu)先原則 四、建立信息交流機(jī)制 應(yīng)做好以下幾個方面的工作： 1.明確部門和職責(zé) 2.確定方式和內(nèi)容 3.制定制度和措施

ISO10012認(rèn)證計量確認(rèn)和測量過程的實現(xiàn) ISO10012要求應(yīng)設(shè)計并實施計量確認(rèn)，以確保測量設(shè)備的計量特性滿足測量過程的計量要求。 ISO10012計量確認(rèn)包括測量設(shè)備校準(zhǔn)和測量設(shè)備驗證。 測量設(shè)備的操作者應(yīng)得到與測量設(shè)備計量確認(rèn)狀態(tài)有關(guān)的信息，包括所有限制和特殊要求。 用于確定或改變計量確認(rèn)間隔的方法應(yīng)用程序文件表述。計量確認(rèn)間隔應(yīng)經(jīng)評審， 每次對不合格的測量設(shè)備進(jìn)行維修、調(diào)整或修改時，應(yīng)評審其計量確認(rèn)間隔。 在經(jīng)確認(rèn)的測量設(shè)備上，對影響其性能的調(diào)整裝置進(jìn)行封印或采取其它保護(hù)措施，以防止未經(jīng)授權(quán)的改變。 封印或保護(hù)裝置的設(shè)計和實施應(yīng)保證一旦改變將會被發(fā)現(xiàn)。 計量確認(rèn)過程程序應(yīng)包括當(dāng)封印或保護(hù)裝置被發(fā)現(xiàn)損壞、破損、轉(zhuǎn)移或丟失時應(yīng)采取的措施。 適用時，計量確認(rèn)過程的記錄應(yīng)注明日期并由授權(quán)人審查批準(zhǔn)以證明結(jié)果的正確性。 應(yīng)保持并可獲得這些記錄。 指南 記錄短的保存時間決定于許多因素，包括顧客的要求，法律法規(guī)要求和制造者的責(zé)任。有關(guān)測量標(biāo)準(zhǔn)的記錄可能需要 保存。 計量確認(rèn)過程記錄應(yīng)證明每臺測量設(shè)備是否滿足規(guī)定的計量要求。 需要時，記錄應(yīng)包括： a). 設(shè)備制造者的表述和 性標(biāo)識、型號、系列號等； b). 完成計量確認(rèn)的日期； c). 計量確認(rèn)結(jié)果； d). 規(guī)定的計量確認(rèn)間隔； e). 計量確認(rèn)程序的標(biāo)識（見6.2.1）； f). 規(guī)定的 允許誤差； g). 相關(guān)的環(huán)境條件和必要的修正說明； h). 設(shè)備校準(zhǔn)引入的測量不確定度； i). 維護(hù)的詳細(xì)情況，如調(diào)整、維修和修改等； j). 使用限制； k). 執(zhí)行計量確認(rèn)的人員標(biāo)識； l). 對信息記錄正確性負(fù)責(zé)的人員標(biāo)識； m). 校準(zhǔn)和報告以及其它相關(guān)文件的 性標(biāo)識（如編號）； n). 校準(zhǔn)結(jié)果的溯源性的證據(jù)； o). 預(yù)期使用的計量要求； p). 調(diào)整、修改或維修后的校準(zhǔn)結(jié)果以及要求時的調(diào)整、修改或維修前的校準(zhǔn)結(jié)果。 計量職能應(yīng)確保只有經(jīng)授權(quán)的人員才允許形成、修改、出具和刪除記錄。 應(yīng)對作為測量管理體系組成部分的測量過程進(jìn)行策劃、確認(rèn)、實施、形成文件和加以控制。應(yīng)識別和考慮影響測量過程的影響量。 每一個測量過程的完整規(guī)范應(yīng)包括所有有關(guān)設(shè)備的標(biāo)識、測量程序、測量軟件、使用條件、操作者能力和影響測量結(jié)果可靠性的其他因素。測量過程控制應(yīng)根據(jù)形成文件的程序進(jìn)行。 應(yīng)根據(jù)顧客、組織和法律法規(guī)的要求確定計量要求。為了滿足這些規(guī)定要求而設(shè)計的測量過程應(yīng)形成文件，并確認(rèn)有效，必要時，征得顧客同意。 對每一測量過程，應(yīng)識別有關(guān)的過程要素和控制。要素和控制限的選擇要與不符合規(guī)定的要求時引起的風(fēng)險相稱。這些過程要素和控制應(yīng)包括操作者、設(shè)備、環(huán)境條件、影響量和應(yīng)用方法的影響。 測量過程應(yīng)在設(shè)計的受控條件下實現(xiàn)，以滿足計量要求。 受控條件應(yīng)包括： a) 使用經(jīng)確認(rèn)的設(shè)備， b) 應(yīng)用經(jīng)確認(rèn)有效的測量程序， c) 可獲得所要求的信息資源， d) 保持所要求的環(huán)境條件， e) 使用具備能力的人員， f) 合適的結(jié)果報告方式， g) 按規(guī)定實施監(jiān)視。