新版标准反映了与业务的融合,与全面风险管理(Risk management)(guǎn lǐ)的融合,与治理的融合,体现(tǐ xiàn)在新标准中对绩效的重视,对风险评估方法论的修改。

军工认证承担武器装备科研生产任务的单位,一般应取得武器装备质量管理体系证书、武器装备科研生产保密资格证书、武器装备科研生产许可证书和装备承制单位资格证书,简称“四证”。

这与IT治理的目标(cause)也是有着一致的高度。

企业在建立了信息安全管理(guǎn lǐ)体系并通过(tōng guò)ISO27001的认证后,提高了企业信息安全的保密性、完整性和可用性,形成了一套可持续改进的信息安全管理环境。

ISO22000认证消费者或客户在持续不断地要求整个食品供应链中相关的组织能够表现并提供足够的证据证明其有能力确认和控制食品安全危害和其它可能对食品安全产生影响的因素。

IT治理的驱动力意在从董事会等治理层面确立IT的价值,投资(意义:

是未来收益的累积)的决策机制,确保IT战略(strategy)与业务战略的一致性,创新性地驱动业务的发展。

信息安全管理新标准从风险(risk)与成本的平衡过渡(transition)到要定期报告(The report)信息安全管理绩效,反应了信息安全管理标准的发展进入成熟期,也反应了治理层面更加重视对信息安全投入的预期的监控,同时对风险管理的度量也是相关方,管理层共同关心的话题。

(见标准条款5.1e,5.3b,6.1.1a,6.1.1.e2;

9.1)

信息安全的目标(cause)是与业务的发展目标高度一致,因此新标准要求信息安全风险(risk)管理要聚焦信息,而信息是融合在整个业务流程(liú chéng)中,新的标准屏除了原来识别资产,资产威胁与脆弱性的方法论,肯定了管理层(executives)面以业务价值为基础,识别信息,确定信息的价值,也很方便与其他以业务流程为基础的ISO管理标准相融合。

(见标准条款5.1a/b,6.1.2)

由于更加关注业务,新标准要求对业务,对组织目标(cause)的理解从内外部环境,包括(bāo kuò)宏观政策,技术发展,行业动向,微观的组织环境来分析(Analyse)。

ISO22000认证适用于整个食品供应链中所有的组织,包括饲料加工、初级产品加工、到食品的制造、运输和储存、以及零售商和饮食业。

另外,与食品生产紧密关联的其它组织也可以采用该标准,如食品设备的生产、食品包装材料的生产、食品清洁剂的生产、食品添加剂的生产和其它食品配料的生产等。

环境因素(factor)对业务的影响(influence),对信息安全的要求。

管理(guǎn lǐ)层(executives)重视信息安全管理目标如何支持业务战略(strategy)。

(见标准条款4.1;

4.2;

5.1a,2a)

信息安全风险在新标准里变得更加生动,中性,风险也可能(maybe)意味着机会。

新标准要求定义风险责任(zé rèn)人,这个责任人更可能是业务的负责人或某项具体(huó dòng)的负责人,而不仅仅是IT人员。

对信息安全风险的偏好与态度完全与组织的全面风险管理(guǎn lǐ)(Risk management)框架相融合。

(见标准条款6.1.1.d/e,6.1.2.C2;)