上海某信息科技公司ISO27001认证监督审核

　　国内企业获得ISO27001认证数量将会继续保持增长势头。分析增长原因，大概有以下几个方面的因素：

（1）国际及国内大的经济形式发展，带动软件业、服务外包、芯片制造业等行业的发展，而这类行业对于信息安全管理质量有较大的需求。

（2）国家对于信息安全管理体系认证的重视度不断提升，在某些领域的量化评比中，将是否获得27001认证列入评比范畴，推动了企业认证的需求。另外，商务部推行的服务外包“千百十工程”中对于企业进行管理体系认证的咨询服务费用将给与适当补助。

（3）ISO27001标准从颁布到现在的发展时间还不长，作为最佳实践集合的第一部分早已经被公众认可和接受，但作为认证准则的第二部分，由于旧版本在很多方面存在不足，被接受度就不是太高。不过，随着改版以及转换为真正的国际标准，新的ISO27001认证很快就进入一个突飞猛进的发展阶段，这种发展趋势已经在近年来表现非常明显了，并且会继续保持。

案例背景

认证领域：ISO27001信息安全管理体系

受审核组织：上海某信息科技公司

认证范围：与预约健康管理平台系统开发相关的信息安全管理

认证标准：GB/T22080-2016/ISO/IEC27001:2013

审核类别：第一次监督审核

认证审核情况

　　该企业的经营范围：从事信息科技、网络科技、通信科技、自动化科技领域内的技术开发、技术咨询、技术服务、技术转让，计算机软件开发，计算机网络工程施工，企业形象策划，电信业务，商务信息咨询，企业管理咨询，健康管理咨询，健康咨询，设计、制作、代理、发布各类广告，电子商务（不得从事金融业务）。

　　公司规模为20人左右，本次审核企业维持正常业务运转需要依靠硬件、软件、人员、信息等各类资产，如果其中一项或多项资产由于某种原因无法使用，公司的正常业务就会受到影响。这些资产缺失的时间越长，公司恢复正常运作就需要花费越长的时间。

　　公司在3台DC上运行应用系统，每台DC都拥有独立的GC及数据库，单台机器可以独立工作，就算其中有一台损坏在DC网络可通的情况下可以自行切换到另外一台正常的DC进行工作，各DC间进行数据同步。在实际灾难来临时，许多操作人员常常惊慌失措而遗漏相关步骤。

审核综述

　　ISO/IEC27001定义了信息安全管理系统（ISMS）的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产，增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审，以维持和提高组织的信息安全。

　　本次ISO27001审核，对与应用系统业务持续性管理实施计划相关的技术操作细节，如备份与恢复、网络故障、防火墙策略等形成《windows server 2008 备份与恢复》、《网络故障排查手册》、《防火墙策略》之类的作业文档。

　　本次ISO27001活动由于事先策划准备充分，考虑周全和受评价组织的积极配合，因此非常顺利地完成了整个现场评价。