6 策划/6.1 应对风险和机遇的措施/6.1.1 总则

6.1.1 总则

组织应建立、实施并保持满足6.1.1~6.1.4的要求所需的过程。

策划环境管理体系时,组织应考虑:

a) 4.1所提及的问题;

b) 4.2所提及的要求;

c) 其环境管理体系的范围。

并且,应确定与环境因素(见6.1.2)、合规义务(见6.1.3)、4.1和4.2中识别的其他问题和要求相关的需要应对的风险和机遇,以:

———确保环境管理体系能够实现其预期结果;

———预防或减少不期望的影响,包括外部环境状况对组织的潜在影响;

———实现持续改进。

组织应确定其环境管理体系范围内的潜在紧急情况,包括那些可能具有环境影响的潜在紧急情况。

组织应保持以下内容的文件化信息:

———需要应对的风险和机遇;

———6.1.1~6.1.4中所需的过程,其详尽程度应使人确信这些过程能按策划得到实施。

【标准理解】

(1)本条款极为复杂,包含多个层次,多个方面的内容。因此,该条款极为不容易理解。同时该条款,对于理解和实施ISO 14001:2015是极为关键的,发挥着承上启下的作用。只有理解清楚了该条款的逻辑,才能理解ISO 14001:2015,否则只能囫囵吞枣,夸夸其谈。

(2)本条款(6.1.1)包含了6.1的总体要求,组织应策划实现6.1.1~6.1.4要求所需的过程,如风险和机遇管理过程(6.1.1,6.1.4),环境因素管理过程(6.1.2,6.1.4),环境合规管理过程(6.1.3,6.1.4)。

(3)本条款(6.1.1)包含了对4.1和4.2输出信息进行风险和机遇识别的要求,同时需要结合6.1.4要求,对所识别的风险和机遇制定应对措施,这相当于ISO/IEC 27001:2022中的6.1.1,属于决策层面的风险识别和风险应对,可以为环境管理(信息安全管理)的规划(如7.1要求的资源规划和投入)提供输入信息。

(4)本条款(6.1.1)同时引出了后面的6.1.2和6.1.3的要求。

【行动要点】

(1)建立风险和机遇管理过程。

(2)形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》。

(3)按照《风险和机遇管理流程》,对4.1和4.2的输出信息进行风险和机遇的识别(6.1.1),提出应对措施并制定措施的实现方案(6.1.4)。

(4)对应对措施的有效性进行评价(6.1.4)。

【输出文档】

(1)《风险和机遇管理流程》或《风险和机遇管理程序》(6.1.1)。

(2)风险和机遇识别记录(6.1.1)。

(3)风险和机遇应对措施和实现方案(6.1.4)。

(3)风险和机遇应对措施的有效性评价记录(6.1.4)。

【审核要点】

(1)是否有形成书面的《风险和机遇管理流程》或《风险和机遇管理程序》(6.1.1)。

(2)是否按照《风险和机遇管理程序》输出书面的风险和机遇识别记录(6.1.1),包括应对措施和实现方案(6.1.4)。

(3)是否有对应对风险和机遇的措施进行有效性的评价,能否提供评价记录(6.1.4)。