案例背景

認(rèn)證領(lǐng)域：IT信息服務(wù)管理體系。

受審核組織：云南某互聯(lián)網(wǎng)科技公司

認(rèn)證范圍：向外部客戶提供計(jì)算機(jī)信息系統(tǒng)軟、硬件運(yùn)維服務(wù)

認(rèn)證標(biāo)準(zhǔn)：ISO/IEC 20000-1:2011《信息安全管理體系 要求》

審核類別：一階段審核。

認(rèn)證審核情況

　　該企業(yè)的經(jīng)營范圍：計(jì)算機(jī)軟硬件、電子產(chǎn)品的研究、開發(fā)、應(yīng)用及技術(shù)咨詢、技術(shù)服務(wù)；計(jì)算機(jī)系統(tǒng)集成及綜合布線；通訊產(chǎn)品、電信設(shè)備、家具、教學(xué)軟件、電子產(chǎn)品的銷售；教育信息咨詢；數(shù)據(jù)采集、整理、存儲及分析；互聯(lián)網(wǎng)信息服務(wù)；建筑裝修裝飾工程、安全防范工程、消防設(shè)施工程、電子與智能化工程的設(shè)計(jì)、施工。

　　公司規(guī)模為30人，信息服務(wù)基礎(chǔ)比較薄弱，審核組需要通過審核，在企業(yè)管理的各個(gè)方面尋找信息安全管理的薄弱環(huán)節(jié)，從而達(dá)到本次認(rèn)證審核的目的，本次審核為初審一階段。

　　審核組發(fā)現(xiàn)盡管公司口頭討論了連續(xù)性方案并實(shí)施，但在實(shí)際災(zāi)難來臨時(shí)，許多操作人員常常驚慌失措而遺漏相關(guān)步驟。此外，非書面文檔也會使得相關(guān)參與人員難以測試和修訂連續(xù)性方案，并難以持續(xù)改進(jìn)。

　　對災(zāi)難應(yīng)對的大部分工作主要由系統(tǒng)部網(wǎng)絡(luò)管理員負(fù)責(zé)，公司也規(guī)定了網(wǎng)絡(luò)管理員不在現(xiàn)場時(shí)由系統(tǒng)部負(fù)責(zé)人承擔(dān)網(wǎng)絡(luò)管理員的職責(zé)，但在訪談時(shí)發(fā)現(xiàn)部門負(fù)責(zé)人并不知曉關(guān)鍵主機(jī)的具體IP 地址，對于備份數(shù)據(jù)所處位置和防火墻策略設(shè)置的具體細(xì)節(jié)也不太清楚。

審核綜述

　　通過本次審核，查找管理環(huán)節(jié)管理漏洞，為組織信息安全管理狀態(tài)提供了有效的證據(jù)，達(dá)到本次審核的目的，得到受審核組織的好評。

　　本次活動(dòng)由于事先策劃準(zhǔn)備充分，考慮周全和受評價(jià)組織的積極配合，因此非常順利地完成了整個(gè)現(xiàn)場評價(jià)過程。