四川某信息自动化公司ISO27001认证审核

　　国内企业获得ISO27001认证数量将会继续保持增长势头。分析增长原因，大概有以下几个方面的因素：

（1）国际及国内大的经济形式发展，带动软件业、服务外包、芯片制造业等行业的发展，而这类行业对于信息安全管理质量有较大的需求。

（2）国家对于信息安全管理体系认证的重视度不断提升，在某些领域的量化评比中，将是否获得27001认证列入评比范畴，推动了企业认证的需求。另外，商务部推行的服务外包“千百十工程”中对于企业进行管理体系认证的咨询服务费用将给与适当补助。

（3）ISO27001标准从颁布到现在的发展时间还不长，作为最佳实践集合的第一部分早已经被公众认可和接受，但作为认证准则的第二部分，由于旧版本在很多方面存在不足，被接受度就不是太高。不过，随着改版以及转换为真正的国际标准，新的ISO27001认证很快就进入一个突飞猛进的发展阶段，这种发展趋势已经在近年来表现非常明显了，并且会继续保持。

案例背景

认证领域：ISO27001信息安全管理体系

受审核组织：四川某信息自动化公司

认证范围：与水利信息化进行水文水资源监测和防汛抗旱信息系统集成的设计、实施和运维服务相关的信息安全管理

认证标准：GB/T22080-2016/ISO/IEC27001:2013

审核类别：第一次监督审核

认证审核情况

　　该企业的经营范围：计算机网络工程设计、施工；计算机设备开发及软硬件销售；水文水资源监测与防汛抗旱指挥系统设计、施工及系统维护服务；水文仪器及其应用软件的研制生产（限分支机构经营）；承担水利电力调度自动化系统及办公管理自动化系统的设计和技术服务（以上不含国家限制项目）；建筑智能化系统设计、施工；消防工程设计、施工；环保工程设计、施工；送变电工程设计、施工；计算机信息系统安全工程设计、施工；地理信息系统工程；地理信息数据采集、地理信息数据处理、地理信息系统及数据库建设；工程测量；控制测量、地形测量、规划测量、建筑工程测量、市政工程测量、水利工程测量、线路与桥隧测量；不动产测绘；地籍测绘。

　　公司规模为20人左右，本次审核主要包括财务、行政、人资等部门，审核过程中了解到，该企业使用了域控对整个集团公司进行了管控，所有计算机均纳入AD域进行管理控制，整体访问控制、软件安装、杀毒终端等均做了统一部署和控制。采用了4台防病毒服务器进行统一的病毒防御查杀，以防护公司整体网络不受病毒攻击。

　　审核组发现防病毒服务器管理人员（网络管理员）沟通，认为主要的技术问题是终端电脑杀毒软件功能模块损坏，导致服务器端无法对其进行更新升级和开启防护功能。而管理方面，公司未制定相关的防病毒巡查制度要求，管理员也以为安装好了服务器端并设置好各种策略就全部自动运行，不需要查看，从而导致该问题一直存在。

审核综述

　　ISO/IEC27001定义了信息安全管理系统（ISMS）的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产，增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审，以维持和提高组织的信息安全。

　　本次ISO27001审核，在企业本身实行了域控的情况下，通过一个服务器端查看到整个企业的所有终端防病毒情况，以及密码策略、访问控制策略、桌面控制策略等，不会遗漏任何一个终端，这是抽样所不能比拟的全范围，杜绝了抽样的偶然性，从而得到完整的审核发现。

　　本次ISO27001活动由于事先策划准备充分，考虑周全和受评价组织的积极配合，因此非常顺利地完成了整个现场评价。