北京某云科技公司ISO27001认证监督审核
ISO27001标准从颁布到现在的发展时间还不长,作为最佳实践集合的第一部分早已经被公众认可和接受,但作为认证准则的第二部分,由于旧版本在很多方面存在不足,被接受度就不是太高。不过,随着改版以及转换为真正的国际标准,新的ISO27001认证很快就进入一个突飞猛进的发展阶段,这种发展趋势已经在近年来表现非常明显了,并且会继续保持。
案例背景
认证领域:ISO27001信息安全管理体系
受审核组织:北京某云科技公司
认证范围:与应用软件设计开发、系统集成和技术服务相关的信息安全管理(本证书体系覆盖范围内未包括分支机构)
认证标准:GB/T22080-2016/ISO/IEC27001:2013
审核类别:第二次监督审核
认证审核情况
该企业的经营范围:技术开发、技术转让、技术咨询、技术服务、技术推广;产品设计;企业管理咨询;计算机系统服务;基础软件服务;应用软件服务;软件开发;软件咨询;数据处理(数据处理中的银行卡中心、PUE值在1.5以上的云计算数据中心除外);销售自行开发后的产品、计算机、软件及辅助设备、电子产品、通讯设备、机械设备;工程设计;测绘服务。
公司规模为60人左右,第二次监督审核时发现,技术部软件开发使用SVN管理源代码,其备份策略要求备份频率为每日全备份、备份数据验证周期为1年。,但审核发现王某仅保留前一天的数据备份。
在备份时间充裕或特殊要求情况下,每次均采用全备份也是可行的。但如果仅保留前一天的数据备份,将具有极大的风险,一种可能的情况是当系统崩溃时,恰好前一天的备份也不可用,将导致所有的源代码永久不可恢复。
审核综述
ISO/IEC27001定义了信息安全管理系统(ISMS)的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产,增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审,以维持和提高组织的信息安全。
本次ISO27001审核,对于企业来说,数据备份系统在IT系统中具有非常重要的地位,数据丢失或损坏很可能造成企业的日常运作无法正常进行,甚至会给企业带来不可估量的损失,在一定程度上决定了企业的生死。总之,数据备份作为保证数据安全的最后一道防线,是可以把损失降到最低的行之有效的方式。
本次ISO27001活动由于事先策划准备充分,考虑周全和受评价组织的积极配合,因此非常顺利地完成了整个现场评价。
电话:400-016-9000
邮箱:post@bcc.com.cn
联系地址:北京市东城区广渠门内大街45号D座5层