iso45001認(rèn)證和ISO14001體系有從標(biāo)準(zhǔn)上看很多共同點(diǎn)，能夠互相兼容，有效地實(shí)現(xiàn)體系的一體化。 一、ISO14001與OHSAS18001體系的共同性 1、兩個(gè)體系均屬于規(guī)范化、文件化、系統(tǒng)化的管理體系：ISO14001環(huán)境管理體系是國際標(biāo)準(zhǔn)化組織（ISO）在1996年9月發(fā)布的認(rèn)證標(biāo)準(zhǔn)，后經(jīng)我國有關(guān)部門等同轉(zhuǎn)化為我國 標(biāo)準(zhǔn)。OHSAS18001是英國標(biāo)準(zhǔn)協(xié)會(huì)（BS1）等12個(gè)組織在1999年發(fā)布的職業(yè)管理體系規(guī)范。也經(jīng)我國有關(guān)部門轉(zhuǎn)化成相應(yīng)的認(rèn)證試行標(biāo)準(zhǔn)。兩個(gè)標(biāo)準(zhǔn)均為規(guī)范化的管理體系，由17個(gè)管理要素構(gòu)成，并對(duì)各管理要素提出了明確的要求。這些要求絕大部分也是相似的。由于這二個(gè)體系從形式到內(nèi)容均有非常多的共同性，對(duì)實(shí)現(xiàn)體系的一體化具有很好的基礎(chǔ)。 2、兩個(gè)體系都遵循相同的管理模式：兩個(gè)體系都共同遵循策劃（P）—實(shí)施（D）—檢查與糾正（C）—評(píng)審改進(jìn)（A）的管理模式，通過PDCA的循環(huán)，實(shí)現(xiàn)管理體系和績效的持續(xù)改進(jìn)。 3、兩個(gè)體系均強(qiáng)調(diào)方針、目標(biāo)、運(yùn)行控制與環(huán)境因素（或危險(xiǎn)源）的一致性。即方針要符合環(huán)境影響（或風(fēng)險(xiǎn)）的性質(zhì)與規(guī)模，而所評(píng)價(jià)出的重要環(huán)境因素（或重大風(fēng)險(xiǎn)）均應(yīng)通過目標(biāo)、管理方案及運(yùn)行控制程序進(jìn)行控制。 4、兩個(gè)體系的管理要素極為相似：兩個(gè)體系均包括五個(gè)部分、共17個(gè)管理要素，從方針到管理評(píng)審要素的設(shè)置完全相同。雖然個(gè)別要素的名稱略有差別，但管理功能基本相同。兩個(gè)體系的17個(gè)管理要素的對(duì)照見下表。 要素號(hào) ISO14001 iso45001 4.2 環(huán)境方針 職業(yè)方針 4.3.1 環(huán)境因素 危險(xiǎn)源辨識(shí)、風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控制、策劃 4.3.2 法律及其他要求 法律及其他要求 4.3.3 目標(biāo)和指標(biāo) 目標(biāo) 4.3.4 環(huán)境管理方案 職業(yè)管理方案 4.4.1 組織結(jié)構(gòu)和職責(zé) 機(jī)構(gòu)和職責(zé) 4.4.2 培訓(xùn)、意識(shí)和能力 培訓(xùn)、意識(shí)與能力 4.4.3 信息交流 協(xié)商與交流 4.4.4 環(huán)境管理體系文件 文件 4.4.5 文件控制 文件與資料控制 4.4.6 運(yùn)行控制 運(yùn)行控制 4.4.7 應(yīng)急準(zhǔn)備和響應(yīng) 應(yīng)急準(zhǔn)備與響應(yīng) 4.5.1 監(jiān)測(cè)和測(cè)量 績效測(cè)量與監(jiān)測(cè) 4.5.2 不符合、糾正與措施 事故、事件、不符合、糾正與措施 4.5.3 記錄 記錄及記錄管理 4.5.4 環(huán)境管理體系審核 審核 4.6 管理評(píng)審 管理評(píng)審 體系的共同性為實(shí)現(xiàn)二個(gè)體系的一體化提供了基本條件。 另外從企業(yè)實(shí)際管理中，環(huán)境管理和職業(yè)管理也存在著很多共通性，例如：①環(huán)境管理和管理的任務(wù)相似，即改善環(huán)境或績效以及環(huán)境或事故；②環(huán)境管理和管理涉及到企業(yè)中所有部門和活動(dòng)并與全體員工有關(guān)；③在相當(dāng)多的企業(yè)中，將環(huán)境與管理設(shè)在同一個(gè)部門（例如：環(huán)保處），這些均能體現(xiàn)出這二種管理的共通性。 由于上述管理和環(huán)境管理的共通性，以致很多企業(yè)在建立上述兩個(gè)體系時(shí)，就把建立、推進(jìn)體系的任務(wù)放在了同一個(gè)部門；又由于ISO14001和OHSAS18001兩個(gè)管理體系的共同性，很多企業(yè)在建立體系時(shí)就把兩個(gè)體系整合為一個(gè)體系（例如：稱為環(huán)境與管理體系）。建立了一套體系文件，同時(shí)實(shí)施運(yùn)行，完全實(shí)現(xiàn)了二種體系的一體化。這樣就對(duì)認(rèn)證機(jī)構(gòu)提出了ISO14001環(huán)境管理體系和OHSAS18001職業(yè)管理體系實(shí)施一體化審核的要求。 二、體系文件的一體化 OHSAS18001職業(yè)管理體系ISO14001環(huán)境管理體系的文件體系相同，一般都由手冊(cè)、程序文件和作業(yè)指導(dǎo)書（或操作規(guī)程）三級(jí)文件所構(gòu)成。在建立一體化的管理體系時(shí)，能否將兩個(gè)體系的文件融合成一套體系文件，是大家比較關(guān)心的問題。在我們審核的企業(yè)中，不少均已成功地實(shí)現(xiàn)了兩個(gè)體系文件的整合。取得了成功的經(jīng)驗(yàn)。現(xiàn)將一體化文件的主要結(jié)構(gòu)和編寫時(shí)的注意事項(xiàng)分述如下： 1、管理手冊(cè) 二個(gè)體系的管理手冊(cè)可以編成一本手冊(cè)（例如稱為：環(huán)境與管理手冊(cè)）。實(shí)現(xiàn)文件的一體化。只是在每個(gè)要素的描述中，要注意覆蓋18001和14001兩個(gè)體系的要求，二個(gè)體系的要求有的是相同的，但也有不少不同點(diǎn)，編寫時(shí)不能忽視。例如： （1）在4.2職業(yè)方針中，就有“傳達(dá)到全體員工，使其每個(gè)人都認(rèn)識(shí)到其在職業(yè)方面的義務(wù)”和“定期進(jìn)行評(píng)審，確保其適宜性”等規(guī)定，這在環(huán)境方針中是沒有的。 （2）在4.3.1中，兩個(gè)體系的描述有很大區(qū)別，應(yīng)分別寫成二個(gè)部分以覆蓋二個(gè)體系的不同要求。例如：對(duì)識(shí)別范圍的要求，對(duì)評(píng)價(jià)結(jié)果分級(jí)的要求和對(duì)控制策劃的要求都很難用同一段文字覆蓋二個(gè)體系的不同要求。 （3）在4.4.1中，增加了對(duì)管理者代表的職務(wù)級(jí)別的規(guī)定；并規(guī)定：對(duì)組織的活動(dòng)、設(shè)施和過程實(shí)施管理，操作和驗(yàn)證的人員均要規(guī)定作用職責(zé)和權(quán)限；所有承擔(dān)管理職責(zé)的人員都應(yīng)實(shí)現(xiàn)其對(duì)職業(yè)績效持續(xù)改進(jìn)的承諾。 （4）在4.4.3中，OHSAS18001增加了員工（或員工代表）在體系建立和實(shí)施中應(yīng)參與的活動(dòng)。 另外在4.3.2、4.3.4、4.4.6、4.5.1和4.5.2中，iso45001和ISO14001也有很多不同的要求。所以在編制一本“一體化”的管理手冊(cè)時(shí)，除了要在不同的要素中對(duì)兩個(gè)體系共同的部分進(jìn)行描述外，還應(yīng)該體現(xiàn)出兩個(gè)體系的不同要求。 2、程序文件 （1）對(duì)于標(biāo)準(zhǔn)中要求建立程序的多數(shù)要素，可以編成一體化的程序。例如：4.3.2、4.4.2、4.4.3、4.4.5、4.4.7、4.5.1、4.5.2、4.5.3和 4.5.4等要素。與手冊(cè)編寫一樣，在程序中也要注意覆蓋兩個(gè)體系的所有要求。 （2）對(duì)于4.3.1“環(huán)境因素識(shí)別和評(píng)價(jià)”與“危險(xiǎn)源辨識(shí)，風(fēng)險(xiǎn)評(píng)價(jià)和風(fēng)險(xiǎn)控制策劃”應(yīng)該分別編寫二個(gè)程序文件，以使其具有較好的可操作性。 （3）對(duì)于4.4.6運(yùn)行控制程序 A) ISO14001環(huán)境管理體系中要求，對(duì)與所認(rèn)定的重要環(huán)境因素相 關(guān)的運(yùn)行與活動(dòng)，制定運(yùn)行控制程序。對(duì)一個(gè)生產(chǎn)型企業(yè)來說， 一般應(yīng)包括下列運(yùn)行控制程序。 a. 水污染控制程序 b. 大氣污染控制程序 c. 噪聲控制程序 d. 固體廢棄物管理程序 e. 能源管理程序 f. 原材料管理程序 g. 油品、化學(xué)品管理程序 h. 環(huán)保設(shè)施管理程序 i. 新建、改建、擴(kuò)建項(xiàng)目環(huán)境保護(hù)管理程序 j. 供方、承包方管理程序 k. 新產(chǎn)品開發(fā)設(shè)計(jì)管理程序，等。 B) OHSAS18001職業(yè)管理體系在4.4.6運(yùn)行控制中則要求，對(duì)所認(rèn)定的風(fēng)險(xiǎn)有關(guān)的、需要采取控制措施的運(yùn)行與活動(dòng)，制定運(yùn)行控制文件。對(duì)一個(gè)生產(chǎn)型企業(yè)而言，大體包括： a. 工藝管理程序； b. 設(shè)備與設(shè)施管理程序； c. 化學(xué)品、油品管理程序； d. 員工管理程序； e. 女工保護(hù)管理程序； f. 勞動(dòng)防護(hù)用品管理程序； g. 供方和承包方管理程序； h. 特殊工種管理程序； i. 危險(xiǎn)作業(yè)管理程序； j. 新、改、擴(kuò)建工程管理程序； k. 檢修維護(hù)工作管理程序； l. 電氣管理程序； m. 管網(wǎng)管理程序； n. 廠內(nèi)交通運(yùn)輸管理程序； o. 管理或作業(yè)變更管理程序等。 從上述兩份典型的運(yùn)行控制程序目錄可以看出：兩個(gè)體系能共用的程序只有3-4個(gè)，其余大多數(shù)程序所管理的內(nèi)容不同。所以對(duì)二個(gè)體系的運(yùn)行控制程序而言不要勉強(qiáng)合并。要根據(jù)二個(gè)體系的要求，編制具有可操作性的控制文件。這對(duì)于實(shí)現(xiàn)重要環(huán)境因素與風(fēng)險(xiǎn)的有效控制是必需的。 3、作業(yè)指導(dǎo)書（或操作規(guī)程） 作業(yè)指導(dǎo)書（或操作規(guī)程）是指操作崗位所執(zhí)行的作業(yè)文件。對(duì)一個(gè)具體的崗位而言，文件應(yīng)盡量統(tǒng)一， 能實(shí)現(xiàn)文件的單一化。對(duì)于環(huán)境和兩方面是如此，甚至包括質(zhì)量方面的要求都可以變成一份作業(yè)指導(dǎo)書，使操作者一目了然。例如：對(duì)于一個(gè)電子工廠的波峰焊接機(jī)操作崗位，在一份作業(yè)指導(dǎo)書上可以先寫如何啟動(dòng)運(yùn)行設(shè)備，保障波峰焊的質(zhì)量；又可寫明如何避免燙傷等事故；還可寫明如何控制含鉛煙塵的排放和妥善處理含鉛廢物等，一個(gè)文件覆蓋三個(gè)體系的管理內(nèi)容。所以對(duì)于第三級(jí)文件，完全可以實(shí)現(xiàn)整合，即對(duì)同一崗位整合成為一份單一的文件。 綜上所述，實(shí)現(xiàn)二個(gè)體系文件的一體化是完全可行的。但要注意既要分別滿足二個(gè)體系的要求，又要適合實(shí)際管理和操作的需要。在這個(gè)前提下使文件盡量簡化。 三、一體化審核 兩個(gè)體系的審核也具有很多共同性。例如： 1、采用同樣的審核程序 ISO14001環(huán)境管理體系審核的審核程序是按照ISO14011《環(huán)境審核指南—審核程序—環(huán)境管理體系審核》進(jìn)行的。在OHSAS18001職業(yè)管理體系的審核中，同樣遵循了類似的程序。并且在審核的策劃和準(zhǔn)備、審核的實(shí)施、糾正措施的跟蹤等，都規(guī)定了基本相同的要求。兩個(gè)體系審核采用同樣程序，是實(shí)現(xiàn)二個(gè)體系審核一體化的基礎(chǔ)。 這里需要指出的是：根據(jù) 環(huán)認(rèn)委發(fā)布的環(huán)境管理體系認(rèn)證機(jī)構(gòu)認(rèn)可基本要求（CACEB：EA-110）的規(guī)定：環(huán)境管理體系的審核分為二個(gè)階段進(jìn)行。即： 階段審核和第二階段審核。而 職業(yè)衛(wèi)生管理體系認(rèn)證指導(dǎo)委員會(huì)規(guī)定的職業(yè)管理體系的審核分為：初始審核和正式審核二個(gè)階段。二個(gè)體系審核所采用的名稱不同。但仔細(xì)研究每個(gè)階段的審核任務(wù)和審核內(nèi)容后則不難發(fā)現(xiàn)，職業(yè)管理體系審核中的初始審核和正式審核，分別與環(huán)境管理體系的 階段審核和第二階段審核是基本相同的。下面以初始審核為例加以說明。 初始審核的目的為： （1）收集組織職業(yè)狀況及與體系有關(guān)的必要的信息； （2）確定正式審核的可行性及條件； （3）確定審核范圍。 初始審核的內(nèi)容：包括： （1）文件審核； （2）危險(xiǎn)源的識(shí)別、風(fēng)險(xiǎn)評(píng)價(jià)及基本控制情況； （3）法律法規(guī)的獲取和相關(guān)法規(guī)的符合情況； （4）方針、目標(biāo)和管理方案的合理性； （5）機(jī)構(gòu)和職責(zé)的設(shè)置； （6）內(nèi)審和管理評(píng)審的有效性。 以上職業(yè)管理體系初始審核的目的和內(nèi)容與環(huán)境管理體系 階段審核的目的和內(nèi)容幾乎是完全相同的。所以在實(shí)施審核時(shí)，完全可以實(shí)現(xiàn)二個(gè)體系審核的一體化。 2、采用同樣的審核方法 職業(yè)管理體系審核的審核方式和審核方法與環(huán)境管理體系也是相同的。均采取以部門審核為主線、結(jié)合要素審核的方式；現(xiàn)場(chǎng)審核則同樣采用詢問交談，查閱文件和記錄，以及現(xiàn)場(chǎng)查證的方法。因此在審核員實(shí)施審核時(shí)也很容易地將二個(gè)體系的審核融合在一起。 3、一體化審核的實(shí)施 （1）審核員的配置 實(shí)施一體化審核的審核員應(yīng)同時(shí)具備二個(gè)體系注冊(cè)審核員的資格。即同一個(gè)審核員既是環(huán)境管理體系 注冊(cè)審核員，又是職業(yè)管理體系的 注冊(cè)審核員。 （2）審核計(jì)劃的編制 二個(gè)體系的一體化審核應(yīng)該編制同一的審核計(jì)劃，即同一個(gè)審核員在審核每個(gè)部門時(shí)，同時(shí)審核二個(gè)體系。 在確定每個(gè)部門所需的審核時(shí)間時(shí)，既要考慮到該部門的環(huán)境影響的大小，也要考慮到重大風(fēng)險(xiǎn)的多少。對(duì)于審核員任務(wù)的分配也要同時(shí)考慮到二個(gè)體系的需要； （3）現(xiàn)場(chǎng)審核檢查表的編制 審核員所準(zhǔn)備的現(xiàn)場(chǎng)檢查表應(yīng)覆蓋兩個(gè)體系的要求。在17個(gè)要素中雖然大部分要求是相同的，但在審核時(shí)也有不少區(qū)別。例如：對(duì)要素4.3.1環(huán)境因素（危險(xiǎn)源辨識(shí)、風(fēng)險(xiǎn)評(píng)價(jià)與風(fēng)險(xiǎn)控制策劃）審核時(shí)，既要審核環(huán)境因素的識(shí)別評(píng)價(jià)又要審核危險(xiǎn)源的識(shí)別評(píng)價(jià)；又如：在對(duì)4.4.6審核時(shí)，既要審核有關(guān)環(huán)境方面的運(yùn)行控制程序的執(zhí)行，又要審核職業(yè)方面的運(yùn)行控制的情況，不能有任何偏廢。 （4）不符合項(xiàng)的確定 審核員應(yīng)充分理解ISO14001和OHSAS18001兩個(gè)體系在各個(gè)要素上的要求，要根據(jù)兩個(gè)體系的要求，分別確定不符合項(xiàng)。如果一個(gè)事實(shí)僅不符合14001（或18001）某條款的要求，則開14001（或18001）的不符合項(xiàng)；如果同一事實(shí)既不符合14001的要求又不符合18001的要求，也可以開為一個(gè)共用的不符合項(xiàng)。分別注明不符合兩個(gè)標(biāo)準(zhǔn)的要素號(hào)。 （5）審核報(bào)告 由于目前我國對(duì)于二個(gè)管理體系的認(rèn)證的管理分屬于二個(gè)認(rèn)可委員會(huì)。所以審核組長在編寫體系的審核報(bào)告時(shí)，應(yīng)根據(jù)二個(gè)認(rèn)可委員會(huì)的要求，分別編寫環(huán)境管理體系審核報(bào)告和職業(yè)管理體系審核報(bào)告。 四、OHSAS18001與ISO14001審核中的區(qū)別 由于OHSAS18001與ISO14001體系具有很多共同性，而且審核程序也相同，因此可以實(shí)現(xiàn)兩個(gè)體系的一體系化審核。但在實(shí)施一體化審核時(shí)也不能忽視兩個(gè)體系在審核中的區(qū)別。 首先我們應(yīng)該充分重視兩個(gè)體系各個(gè)管理要素要求的區(qū)別。雖然兩個(gè)體系要素的設(shè)置是相同的，每個(gè)要素的功能也基本相同。但仔細(xì)研究后，你會(huì)發(fā)現(xiàn)，在一部分要素中仍然存在著差別，有的差別甚至還比較大。關(guān)于這方面的內(nèi)容，準(zhǔn)備在另外的文章中討論。 在這里，我們僅討論在一體化體系審核中有關(guān)職業(yè)審核方面應(yīng)注意的問題。 1、要更加重視對(duì)現(xiàn)場(chǎng)狀況的審核 由于職業(yè)管理體系中的重大風(fēng)險(xiǎn)分布面廣，可能分布在很多作業(yè)場(chǎng)所，所以審核中要更加重視現(xiàn)場(chǎng)的審核，在現(xiàn)場(chǎng)審核中應(yīng)充分重視以下幾方面的狀況： （1）各類危險(xiǎn)源是否已被辨識(shí)出來，是否有遺漏；重大風(fēng)險(xiǎn)的評(píng)價(jià)結(jié)果是否合理； （2）高風(fēng)險(xiǎn)場(chǎng)所的設(shè)施是否妥善，例如：防火、防爆、防化學(xué)傷害，防機(jī)械傷害的設(shè)施、設(shè)備是否完善；管理程序和作業(yè)文件是否健全，檢測(cè)、報(bào)警、消防以及其他應(yīng)急措施是否處在正常狀態(tài)； （3）危險(xiǎn)作業(yè)及其相關(guān)的控制是否有效，例如：對(duì)高空作業(yè)的管理，對(duì)動(dòng)火作業(yè)的管理等； （4）作業(yè)環(huán)境與個(gè)人防護(hù)是否符合法規(guī)或程序文件的要求。 2、要更加重視員工意識(shí)和對(duì)作業(yè)規(guī)程掌握程度的審核 造成事故的原因有兩類：一是物的不狀態(tài)，二是人的不行為，所以既使設(shè)施、設(shè)備方面的不狀態(tài)被控制了，而人的不行為也常常會(huì)造成事故。例如：高空作業(yè)時(shí)不系帶，在有高空墜物的危險(xiǎn)場(chǎng)所不戴帽，機(jī)動(dòng)車輛的疲勞駕駛等。所以審核中要更加重視對(duì)作業(yè)人員的審核，特別是與高風(fēng)險(xiǎn)作業(yè)有關(guān)的作業(yè)人員。 3、職業(yè)管理體系的適用范圍 ISO14001環(huán)境管理體系的范圍包括組織的活動(dòng)、產(chǎn)品和服務(wù)；而在OHSAS18001職業(yè)管理體系的適用范圍中，明確規(guī)定“本標(biāo)準(zhǔn)僅適用于職業(yè)，而不適用于產(chǎn)品和服務(wù)?！彼栽趯徍藭r(shí)要注意：對(duì)于企業(yè)所生產(chǎn)的產(chǎn)品在使用中的性能，不包括在范圍之中。在審核時(shí)應(yīng)該注意這一要求。 OHSAS18001和ISO14001是完全能夠?qū)崿F(xiàn)一體化及一體化審核的。這樣做可以為組織節(jié)省管理資源和迎審工作量，對(duì)認(rèn)證機(jī)構(gòu)也可以節(jié)省審核工作量，降低審核費(fèi)用，并便于企業(yè)實(shí)現(xiàn)管理上的一體化。因此，兩個(gè)體系的一體化審核有很重要的意義。

ISO27000認(rèn)證體系建立和運(yùn)行步驟 ISO27001標(biāo)準(zhǔn)要求組織建立并保持一個(gè)文件化的信息管理體系，其中應(yīng)闡述需要保護(hù)的資產(chǎn)、組織風(fēng)險(xiǎn)管理的渠道、控制目標(biāo)及控制方式和需要的保證程度。 不同的組織在建立與完善信息管理體系時(shí)，可根據(jù)自己的特點(diǎn)和具體情況，采取不同的步驟和方法。但總體來說，建立信息管理體系一般要經(jīng)過下列四個(gè)基本步驟：信息管理體系的策劃與準(zhǔn)備；信息管理體系文件的編制；信息管理體系運(yùn)行；信息管理體系審核與評(píng)審。 如果考慮認(rèn)證過程其詳細(xì)的步驟如下： 1. 現(xiàn)場(chǎng)診斷； 2. 確定信息管理體系的方針、目標(biāo)； 3. 明確信息管理體系的范圍，根據(jù)組織的特性、地理位置、資產(chǎn)和技術(shù)來確定界限； 4. 對(duì)管理層進(jìn)行信息管理體系基本知識(shí)培訓(xùn)； 5. 信息體系內(nèi)部審核員培訓(xùn)； 6. 建立信息管理組織機(jī)構(gòu)； 7. 實(shí)施信息資產(chǎn)評(píng)估和分類，識(shí)別資產(chǎn)所受到的威脅、薄弱環(huán)節(jié)和對(duì)組織的影響，并確定風(fēng)險(xiǎn)程度； 8. 根據(jù)組織的信息方針和需要的保證程度通過風(fēng)險(xiǎn)評(píng)估來確定應(yīng)實(shí)施管理的風(fēng)險(xiǎn)，確定風(fēng)險(xiǎn)控制手段； 9. 制定信息管理手冊(cè)和各類必要的控制程序 ； 10. 制定適用性聲明； 11. 制定商業(yè)可持續(xù)性發(fā)展計(jì)劃； 12. 審核文件、發(fā)布實(shí)施； 13. 體系運(yùn)行，有效的實(shí)施選定的控制目標(biāo)和控制方式； 14. 內(nèi)部審核； 15. 外部 階段認(rèn)證審核； 16. 外部第二階段認(rèn)證審核； 17. 頒發(fā)； 18. 體系持續(xù)運(yùn)行/年度監(jiān)督審核； 19. 復(fù)評(píng)審核（三年有效）。 至于應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意控制細(xì)節(jié)。信息管理需要組織中的所有雇員的參與，比如為了防止組織外的第三方人員非法進(jìn)入組織的辦公區(qū)域獲取組織的技術(shù)機(jī)密，除物理控制外，還需要組織全體人員參與，加強(qiáng)控制。此外還需要供應(yīng)商，顧客或股東的參與，需要組織以外的專家建議。信息、信息處理過程及對(duì)信息起支持作用的信息系統(tǒng)和信息網(wǎng)絡(luò)都是重要的商務(wù)資產(chǎn)。信息的保密性、完整性和可用性對(duì)保持競(jìng)爭優(yōu)勢(shì)、資金流動(dòng)、效益、法律符合性和商業(yè)形象都是至關(guān)重要的。 當(dāng)前，越來越多的組織及其信息系統(tǒng)和網(wǎng)絡(luò)面臨著包括計(jì)算機(jī)詐騙、間諜、蓄意破壞、火災(zāi)、水災(zāi)等大范圍的威脅，諸如計(jì)算機(jī)病毒、計(jì)算機(jī)入侵、DoS攻擊等手段造成的信息災(zāi)難已變得更加普遍,有計(jì)劃而不易被察覺。組織對(duì)信息系統(tǒng)和信息服務(wù)的依賴意味著更易受到威脅的破壞，公共和私人網(wǎng)絡(luò)的互連及信息資源的共享增大了實(shí)現(xiàn)訪問控制的難度。 許多信息系統(tǒng)本身就不是按照系統(tǒng)的要求來設(shè)計(jì)的，所以僅依靠技術(shù)手段來實(shí)現(xiàn)信息有其局限性，所以信息的實(shí)現(xiàn)必須得到管理和程序控制的適當(dāng)支持。確定應(yīng)采取哪些控制方式則需要周密計(jì)劃，并注意細(xì)節(jié)。信息管理至少需要組織中的所有雇員的參與，此外還需要供應(yīng)商、顧客或股東的參與和信息的專家建議。