上海某信息科技公司ISO27001认证监督审核
国内企业获得ISO27001认证数量将会继续保持增长势头。分析增长原因,大概有以下几个方面的因素:
(1)国际及国内大的经济形式发展,带动软件业、服务外包、芯片制造业等行业的发展,而这类行业对于信息安全管理质量有较大的需求。
(2)国家对于信息安全管理体系认证的重视度不断提升,在某些领域的量化评比中,将是否获得27001认证列入评比范畴,推动了企业认证的需求。另外,商务部推行的服务外包“千百十工程”中对于企业进行管理体系认证的咨询服务费用将给与适当补助。
(3)ISO27001标准从颁布到现在的发展时间还不长,作为最佳实践集合的第一部分早已经被公众认可和接受,但作为认证准则的第二部分,由于旧版本在很多方面存在不足,被接受度就不是太高。不过,随着改版以及转换为真正的国际标准,新的ISO27001认证很快就进入一个突飞猛进的发展阶段,这种发展趋势已经在近年来表现非常明显了,并且会继续保持。
案例背景
认证领域:ISO27001信息安全管理体系
受审核组织:上海某信息科技公司
认证范围:与预约健康管理平台系统开发相关的信息安全管理
认证标准:GB/T22080-2016/ISO/IEC27001:2013
审核类别:第一次监督审核
认证审核情况
该企业的经营范围:从事信息科技、网络科技、通信科技、自动化科技领域内的技术开发、技术咨询、技术服务、技术转让,计算机软件开发,计算机网络工程施工,企业形象策划,电信业务,商务信息咨询,企业管理咨询,健康管理咨询,健康咨询,设计、制作、代理、发布各类广告,电子商务(不得从事金融业务)。
公司规模为20人左右,本次审核企业维持正常业务运转需要依靠硬件、软件、人员、信息等各类资产,如果其中一项或多项资产由于某种原因无法使用,公司的正常业务就会受到影响。这些资产缺失的时间越长,公司恢复正常运作就需要花费越长的时间。
公司在3台DC上运行应用系统,每台DC都拥有独立的GC及数据库,单台机器可以独立工作,就算其中有一台损坏在DC网络可通的情况下可以自行切换到另外一台正常的DC进行工作,各DC间进行数据同步。在实际灾难来临时,许多操作人员常常惊慌失措而遗漏相关步骤。
审核综述
ISO/IEC27001定义了信息安全管理系统(ISMS)的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产,增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审,以维持和提高组织的信息安全。
本次ISO27001审核,对与应用系统业务持续性管理实施计划相关的技术操作细节,如备份与恢复、网络故障、防火墙策略等形成《windows server 2008 备份与恢复》、《网络故障排查手册》、《防火墙策略》之类的作业文档。
本次ISO27001活动由于事先策划准备充分,考虑周全和受评价组织的积极配合,因此非常顺利地完成了整个现场评价。
电话:400-016-9000
邮箱:post@bcc.com.cn
联系地址:北京市东城区广渠门内大街45号D座5层