北京某石油科技公司ISO27001生产现场

　　ISO27001标准从颁布到现在的发展时间还不长，作为最佳实践集合的第一部分早已经被公众认可和接受，但作为认证准则的第二部分，由于旧版本在很多方面存在不足，被接受度就不是太高。不过，随着改版以及转换为真正的国际标准，新的ISO27001认证很快就进入一个突飞猛进的发展阶段，这种发展趋势已经在近年来表现非常明显了，并且会继续保持。

案例背景

认证领域：ISO27001信息安全管理体系

受审核组织：北京某石油科技公司

认证范围：与油气田数字化系统的研发及集成服务相关的信息安全管理。

认证标准：GB/T22080-2016/ISO/IEC27001:2013

审核类别：生产现场审核

认证审核情况

　　该企业的经营范围：专业承包、施工总承包；资产评估；石油、天然气开采技术开发、技术咨询、技术推广、技术转让；油气田工程技术服务、销售化工产品（不含化学危险品）、机械设备、电子产品、计算机、软件及辅助设备；软件开发、计算机系统服务；工业泵、压力管道元件（球阀、截（切）断阀、闸阀、电磁阀、调节阀等）、石油化工设备、机电一体化设备制造（限分支机构经营）；生产化工产品（不含危险化学品）（限分支机构经营）；生产天然气压缩机（限分支机构经营）；货物进出口、代理进出口、技术进出口；出租办公用房。

　　公司规模为40人左右，此次审核由于质量部门制定《访问控制实施规范》并负责监督落实情况，受技术水平限制，该部门对信息系统访问控制的实际情况的了解仅停留在各部门的报告上，所以对具体控制措施要求不明确、针对性不强，导致可操作性也不够。

　　相关人员对用户访问权限及时注销和复查理解不到位，尤其对涉及敏感信息的系统的访问控制没有上升到事关组织信息泄露风险的层面。

审核综述

ISO/IEC27001定义了信息安全管理系统（ISMS）的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产，增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审，以维持和提高组织的信息安全。

本次ISO27001审核，通过整改保证了能及时清理和检查应用系统的用户访问权限，降低了客户信息泄露的风险；对用户访问管理如何在组织内的落地实施和检查有了很深刻的理解；大大提高了全体员工对用户访问管理重要性的认识，提高了人员的安全意识。

本次ISO27001活动由于事先策划准备充分，考虑周全和受评价组织的积极配合，因此非常顺利地完成了整个现场评价。