ISO27001標(biāo)準(zhǔn)從頒布到現(xiàn)在的發(fā)展時(shí)間還不長(zhǎng)，作為最佳實(shí)踐集合的第一部分早已經(jīng)被公眾認(rèn)可和接受，但作為認(rèn)證準(zhǔn)則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過(guò)，隨著改版以及轉(zhuǎn)換為真正的國(guó)際標(biāo)準(zhǔn)，新的ISO27001認(rèn)證很快就進(jìn)入一個(gè)突飛猛進(jìn)的發(fā)展階段，這種發(fā)展趨勢(shì)已經(jīng)在近年來(lái)表現(xiàn)非常明顯了，并且會(huì)繼續(xù)保持。

案例背景

認(rèn)證領(lǐng)域：ISO27001信息安全管理體系

受審核組織：北京某云科技公司

認(rèn)證范圍：與應(yīng)用軟件設(shè)計(jì)開(kāi)發(fā)、系統(tǒng)集成和技術(shù)服務(wù)相關(guān)的信息安全管理（本證書(shū)體系覆蓋范圍內(nèi)未包括分支機(jī)構(gòu)）

認(rèn)證標(biāo)準(zhǔn)：GB/T22080-2016/ISO/IEC27001:2013

審核類(lèi)別：第二次監(jiān)督審核

認(rèn)證審核情況

　　該企業(yè)的經(jīng)營(yíng)范圍：技術(shù)開(kāi)發(fā)、技術(shù)轉(zhuǎn)讓、技術(shù)咨詢、技術(shù)服務(wù)、技術(shù)推廣；產(chǎn)品設(shè)計(jì)；企業(yè)管理咨詢；計(jì)算機(jī)系統(tǒng)服務(wù)；基礎(chǔ)軟件服務(wù)；應(yīng)用軟件服務(wù)；軟件開(kāi)發(fā)；軟件咨詢；數(shù)據(jù)處理（數(shù)據(jù)處理中的銀行卡中心、PUE值在1.5以上的云計(jì)算數(shù)據(jù)中心除外）；銷(xiāo)售自行開(kāi)發(fā)后的產(chǎn)品、計(jì)算機(jī)、軟件及輔助設(shè)備、電子產(chǎn)品、通訊設(shè)備、機(jī)械設(shè)備；工程設(shè)計(jì)；測(cè)繪服務(wù)。

　　公司規(guī)模為60人左右，第二次監(jiān)督審核時(shí)發(fā)現(xiàn)，技術(shù)部軟件開(kāi)發(fā)使用SVN管理源代碼，其備份策略要求備份頻率為每日全備份、備份數(shù)據(jù)驗(yàn)證周期為1年。，但審核發(fā)現(xiàn)王某僅保留前一天的數(shù)據(jù)備份。

　　在備份時(shí)間充?；蛱厥庖笄闆r下，每次均采用全備份也是可行的。但如果僅保留前一天的數(shù)據(jù)備份，將具有極大的風(fēng)險(xiǎn)，一種可能的情況是當(dāng)系統(tǒng)崩潰時(shí)，恰好前一天的備份也不可用，將導(dǎo)致所有的源代碼永久不可恢復(fù)。

審核綜述

　　ISO/IEC27001定義了信息安全管理系統(tǒng)（ISMS）的要求。標(biāo)準(zhǔn)的設(shè)計(jì)確保有充分的、恰當(dāng)?shù)陌踩刂拼胧?。這有助于保護(hù)信息資產(chǎn)，增強(qiáng)包括客戶在內(nèi)的利害相關(guān)方的信心。標(biāo)準(zhǔn)采用過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)控和評(píng)審，以維持和提高組織的信息安全。

　　本次ISO27001審核，對(duì)于企業(yè)來(lái)說(shuō)，數(shù)據(jù)備份系統(tǒng)在IT系統(tǒng)中具有非常重要的地位，數(shù)據(jù)丟失或損壞很可能造成企業(yè)的日常運(yùn)作無(wú)法正常進(jìn)行，甚至?xí)o企業(yè)帶來(lái)不可估量的損失，在一定程度上決定了企業(yè)的生死?？傊?，數(shù)據(jù)備份作為保證數(shù)據(jù)安全的最后一道防線，是可以把損失降到最低的行之有效的方式。

　　本次ISO27001活動(dòng)由于事先策劃準(zhǔn)備充分，考慮周全和受評(píng)價(jià)組織的積極配合，因此非常順利地完成了整個(gè)現(xiàn)場(chǎng)評(píng)價(jià)。