云南某互联网科技公司IT服务管理一阶段审核案例

案例背景

认证领域：IT信息服务管理体系。

受审核组织：云南某互联网科技公司

认证范围：向外部客户提供计算机信息系统软、硬件运维服务

认证标准：ISO/IEC 20000-1:2011《信息安全管理体系 要求》

审核类别：一阶段审核。

认证审核情况

　　该企业的经营范围：计算机软硬件、电子产品的研究、开发、应用及技术咨询、技术服务；计算机系统集成及综合布线；通讯产品、电信设备、家具、教学软件、电子产品的销售；教育信息咨询；数据采集、整理、存储及分析；互联网信息服务；建筑装修装饰工程、安全防范工程、消防设施工程、电子与智能化工程的设计、施工。

　　公司规模为30人，信息服务基础比较薄弱，审核组需要通过审核，在企业管理的各个方面寻找信息安全管理的薄弱环节，从而达到本次认证审核的目的，本次审核为初审一阶段。

　　审核组发现尽管公司口头讨论了连续性方案并实施，但在实际灾难来临时，许多操作人员常常惊慌失措而遗漏相关步骤。此外，非书面文档也会使得相关参与人员难以测试和修订连续性方案，并难以持续改进。

　　对灾难应对的大部分工作主要由系统部网络管理员负责，公司也规定了网络管理员不在现场时由系统部负责人承担网络管理员的职责，但在访谈时发现部门负责人并不知晓关键主机的具体IP 地址，对于备份数据所处位置和防火墙策略设置的具体细节也不太清楚。

审核综述

　　通过本次审核，查找管理环节管理漏洞，为组织信息安全管理状态提供了有效的证据，达到本次审核的目的，得到受审核组织的好评。

　　本次活动由于事先策划准备充分，考虑周全和受评价组织的积极配合，因此非常顺利地完成了整个现场评价过程。