能源管理体系就是从体系的全过程出发,遵循系统管理原理,通过实施一套完整的标准、规范,在组织内建立起一个完整有效的、形成文件的能源管理体系,注重建立和实施过程的控制,使组织的活动、过程及其要素不断优化,通过例行节能监测、能源审计、能效对标、内部审核、组织能耗计量与测试、组织能量平衡统计、管理评审、自我评价、节能技改、节能考核等措施,不断提高能源管理体系持续改进的有效性,实现能源管理方针和承诺并达到预期的能源消耗或使用目标。 颁布实施 GB/T 23331-2012《能源管理体系 要求》国家标准已于2012年12月31日发布,于2013年10月1日正式实施。国家认监委在《关于开展能源管理体系认证试点工作有关要求的通知》(国认可[2009]44号)中规定,由于《能源管理体系 要求》的内容适用于各类组织,属于组织建立能源管理体系的通用要求。因此,能源管理体系认证试点的依据应是以国家标准为基础,根据我国不同行业能源使用和管理的实际情况,制定行业认证实施规则。 制定背景 一、GB/T 23331-2009《能源管理体系要求》标准制定的背景 能源是国民经济和社会发展的重要物质基础,中国资源不足,能源短缺已成为制约国民经济持续发展的重要因素,由于现阶段还是粗放型经济,能源利用效率低,能耗高,造成能源严重浪费现象十分严重,能源的紧缺形势又给我国的资源不足和环境治理造成巨大压力。 节能工作是一个系统性、综合性很强的工作。由于缺乏相互联系、相互制约和相互促进的科学的能源管理理念、机制和方法,就会造成能源管理脱节。使能源使用无依据、分配无定额、考核无计量、管理无计划、损失无监督、节能无措施、浪费无人管等现象。一些思想前瞻的组织建立了能源管理队伍,在能源管理中,逐渐认识到开发和应用节能技术和装备仅仅是节能工作的一个方面, 单纯的依靠节能技术并不能最终解决能源供需矛盾等问题。应用系统的管理方法降低能源消耗、提高能源利用效率,推动行为节能,进行能源管理体系建设成为能源管理的关键。有计划地将节能措施和节能技术应用于实践,使得组织能够持续降低能源消耗、提高能源利用效率,这不仅促进了系统管理能源理念的诞生,也推动了许多国家能源管理体系标准的开发与应用。 (一)相关国家能源管理体系标准的制定及实施情况 国际上有关国家制定并实施了能源管理体系国家标准,如英国能源效率办公室针对建筑能源管理制定的《能源管理指南》、美国国家标准学会(ANSI)制定的MSE2000《能源管理体系》、瑞典标准化协会制定的《能源管理体系说明》、爱尔兰国家标准局(NSAI)制定的《能源管理体系 要求及使用指南》、丹麦标准协会发布的《能源管理规范》等。此外,韩国也发布了相应的国家标准,德国和荷兰也制定了相应的能源管理体系规范。另外,欧洲标准化委员会(CEN)和欧洲电气技术标准化委员会(CENELEC)共同组建了一个特别工作小组,研制三个与能源管理有关的欧洲标准,其中即包括一项能源管理体系标准。 [1] (二)国际组织对能源管理体系标准研制的推动情况 联合国工业发展组织(UNIDO)也在积极推进能源管理体系国际标准的制定进程。2007年初至今,先后在奥地利、泰国和中国召开了3次关于能源管理体系标准的国际研讨会,特别是2008年4月在北京由国家标准委(SAC)和UNIDO共同组织召开的能源管理体系标准国际研讨会上,ISO、UNIDO以及相关国家标准化组织的代表和专家就能源管理体系国际标准的结构、核心理念、要素、与其他国际标准的差异等进行了卓有成效的交流和讨论,并就能源管理体系国际标准的框架内容达成基本共识。这几次重要会议的召开为我国能源管理体系标准的研制提供了改进和完善的机会。 为推动能源管理体系国际标准的制定,国际标准化组织(ISO)成立了ISO/PC242-能源管理体系项目委员会,由美国、中国、巴西和英国共同承担该委员会的相应职务,由美国和巴西承担秘书处的工作。该委员会已于2008年9月召开第一次工作会议,起草标准草案。 [2-4] 主要内容 二、GB/T 23331-2009《能源管理体系 要求》标准的主要内容 1、总要求:组织应建立并实施能源管理体系,以降低能耗、提高能源利用效率,能源管理体系应覆盖组织与能源管理有关内部过程和外包过程。 2、管理职责:包括管理承诺、能源方针、作用、职责和权限等方面的要求。 3、策划:包括能源因素、法律法规及其他要求、能源管理基准及标杆、能源目标和指标、能源管理方案等方面的要求。 4、实施与运行:包括资源,能力、培训和意识,信息交流,文件控制,记录控制,运行控制等方面的要求; 5、检查与纠正:包括监视、测量与评价、合规性评价、不符合,纠正、纠正措施和预防措施、内部审核等方面的要求; 6、管理评审:包括总则、评审输入、评审输出等方面的要求。 认证受益 GB/T 23331-2009《能源管理体系 要求》可能带来的价值 1、树立良好的社会责任形象,为节能减排做出贡献; 2、有助于能源的节约和合理利用,降低生产(服务)经营成本,有利于经济效益的增长,在能源资源价格不断上涨时保持竞争力; 3、有利于满足市场、用户和各相关方的要求,有利于减少信贷和保险机构的风险,有利于吸引投资,有利于产品销售和市场开拓; 4、有利于完成国家对下达的节能指标; 5、有利于获得国家各类奖励及财税政策支持,如国家对节约每吨标准煤给予组织200-250元的政策补贴,条件是组织必须拥有完善的能源管理体系制度; 6、有利于为开展能源管理体系认证做准备,培养能源管理方面的人才,为能源管理提供有效保障。 7、有助于克服技术性贸易堡垒,甚至可以与国外相互认可,得到外商的青睐,扩大国际营销渠道。 8、有利于建立节能减排的理念,树立持续改进的信心,逐步形成节能减排的自律机制。
ISO27001认证,由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的,1999年BSI重新修改了该标准。分为两个部分:BS7799-1信息安全管理实施规则,BS7799-2信息安全管理体系规范。
实用规则
ISO27001 信息安全管理实用规则ISO/IEC27001的前身为英国的BS7799标准,该标准由英国标准协会(BSI)于1995年2月提出,并于1995年5月修订而成的。1999年BSI重新修改了该标准。BS7799分为两个部分:BS7799-1,信息安全管理实施规则BS7799-2,信息安全管理体系规范。第一部分对信息安全管理给出建议,供负责在其组织启动、实施或维护安全的人员使用;第二部分说明了建立、实施和文件化信息安全管理体系(ISMS)的要求,规定了根据独立组织的需要应实施安全控制的要求。
背景介绍
信息作为组织的重要资产,需要得到妥善保护。但随着信息技术的高速发展,特别是Internet的问世及网上交易的启用,许多信息安全的问题也纷纷出现:系统瘫痪、黑客入侵、病毒感染、网页改写、客户资料的流失及公司内部资料的泄露等等。这些已给组织的经营管理、生存甚至国家安全都带来严重的影响。安全问题所带来的损失远大于交易的帐面损失,它可分为三类,包括直接损失、间接损失和法律损失:
丢失订单,减少直接收入,损失生产率;
恢复成本,竞争力受损,品牌、声誉受损,负面的公众影响,失去未来的业务机会,影响股票市值或政治声誉;
法律、法规的制裁,带来相关联的诉讼或追索等。
所以,在享用现代信息系统带来的快捷、方便的同时,如何充分防范信息的损坏和泄露,已成为当前企业迫切需要解决的问题。
俗话说“三分技术七分管理”。组织普遍采用现代通信、计算机、网络技术来构建组织的信息系统。但大多数组织的最高管理层对信息资产所面临的威胁的严重性认识不足,缺乏明确的信息安全方针、完整的信息安全管理制度、相应的管理措施不到位,如系统的运行、维护、开发等岗位不清,职责不分,存在一人身兼数职的现象。这些都是造成信息安全事件的重要原因。缺乏系统的管理思想也是一个重要的问题。所以,我们需要一个系统的、整体规划的信息安全管理体系,从预防控制的角度出发,保障组织的信息系统与业务之安全与正常运作。
ISO27001标准是为了与其他管理标准,比如ISO9000和ISO14001等相互兼容而设计的,这一标准中的编号系统和文件管理需求的设计初衷,就是为了提供良好的兼容性,使得组织可以建立起这样一套管理体系:能够在最大程度上融入这个组织正在使用的其他任何管理体系。一般来说,组织通常会使用为其ISO9000认证或者其他管理体系认证提供认证服务的机构,来提供ISO27001认证服务。正是因为这个缘故,在ISMS体系建立的过程中,质量管理的经验举足轻重。
但是有一点需要注意,一个组织如果没有事先拥有并使用任何形式的管理体系,并不意味着该组织不能进行ISO27001认证。这种情况下,该组织就应当从经济利益考虑,选择一个合适的管理体系的认证机构来提供认证服务。认证机构必须得到一个国家鉴定机构的委托授权,才能为认证组织提供认证服务,并发放认证证书。大多数国家都有自己的国家鉴定机构(比如:英国UKAS),任何获得该机构授权进行ISMS认证的机构均记录在案。
规则更新
在信息安全管理体系方面,ISO/IEC27001:2005――信息安全管理体系标准已经成为世界上应用最广泛与典型的信息安全管理标准。ISO/IEC27001是由英国标准BS7799转换而成的。
BS7799标准于1993年由英国贸易工业部立项,于1995年英国首次出版BS 7799-1:1995《信息安全管理实施细则》,它提供了一套综合的、由信息安全最佳惯例组成的实施规则,其目的是作为确定工商业信息系统在大多数情况所需控制范围的参考基准,适用于大、中、小组织。2000年12月,BS7799-1:1999《信息安全管理实施细则》通过了国际标准化组织ISO的认可,正式成为国际标准----- ISO/IEC17799:2000《信息技术-信息安全管理实施细则》,后来该标准已升版为ISO/IEC17799:2005。2002年9月5日,BS7799-2:2002正式发布,2002版标准主要在结构上做了修订,引入了PDCA(Plan-Do-Check-Act)的过程管理模式,建立了与ISO 9001、ISO 14001和OHSAS 18000等管理体系标准相同的结构和运行模式。2005年,BS 7799-2: 2002正式转换为国际标准ISO/IEC27001:2005。
认证好处
1.符合法律法规要求
证书的获得,可以向权威机构表明,组织遵守了所有适用的法律法规。从而保护企业和相关方的信息系统安全、知识产权、商业秘密等。
2.维护企业的声誉、品牌和客户信任
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
3.履行信息安全管理责任
证书的获得,本身就能证明组织在各个层面的安全保护上都付出了卓有成效的努力,表明管理层履行了相关责任。
4.增强员工的意识、责任感和相关技能
证书的获得,可以强化员工的信息安全意识,规范组织信息安全行为,减少人为原因造成的不必要的损失。
5.保持业务持续发展和竞争优势
全面的信息安全管理体系的建立,意味着组织核心业务所赖以持续的各项信息资产得到了妥善保护,并且建立有效的业务持续性计划框架,提升了组织的核心竞争力。
6.实现风险管理
有助于更好地了解信息系统,并找到存在的问题以及保护的办法,保证组织自身的信息资产能够在一个合理而完整的框架下得到妥善保护,确保信息环境有序而稳定地运作。
7.减少损失,降低成本
ISMS的实施,能降低因为潜在安全事件发生而给组织带来的损失,在信息系统受到侵袭时,能确保业务持续开展并将损失降到最低程度
适用范围
信息安全对每个企业或组织来说都是需要的,所以信息安全管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。从获得认证的企业情况看,较多的是涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。