北京某信息技术公司ISO27001认证审核
ISO27001标准从颁布到现在的发展时间还不长,作为最佳实践集合的第一部分早已经被公众认可和接受,但作为认证准则的第二部分,由于旧版本在很多方面存在不足,被接受度就不是太高。不过,随着改版以及转换为真正的国际标准,新的ISO27001认证很快就进入一个突飞猛进的发展阶段,这种发展趋势已经在近年来表现非常明显了,并且会继续保持。
案例背景
认证领域:ISO27001信息安全管理体系
受审核组织:北京某信息技术公司
认证范围:与资质范围内的地理信息系统工程(地理信息数据采集、地理信息数据处理、地理信息系统及数据库建设、地理信息软件开发)、工程测量、不动产测绘,数字化加工服务相关的信息安全管理。
认证标准:GB/T22080-2016/ISO/IEC27001:2013
审核类别:一阶段审核
认证审核情况
该企业的经营范围:技术推广、技术服务、技术咨询、技术开发、技术转让;遥感地质勘查;环境监测;水污染治理;大气污染治理;土壤污染治理与修复;数据处理;计算机系统服务;基础软件服务;应用软件服务;销售计算机、软件及辅助设备、电子产品、机械设备;建设工程项目管理;工程勘察设计;测绘服务。
公司规模为20人左右,此次审核主要是信息安全体系的建立、实施,特别是信息安全控制措施的落实情况。抽查网络设备-研发交换机(IP:192.168.**.2),登录该交换机发现其系统显示时间与NTP服务器时间相差28小时左右,判定研发交换机未按要求与NTP同步。
原因是由于计算机或通信设备大多有能力运行实时时钟,但这些时钟可能随时间漂移,所以应有一个核查和校准时钟发生较大变化的规程。而正确设置计算机时钟对于确保审计记录的准确性非常重要,审计日志可用于调查或作为法律、纪律处理的证据,不准确的审计日志可能妨碍这种调查,并损害这种证据的可信性。所以信息处理设施保持时钟同步对一个组织来说至关重要。
审核综述
ISO/IEC27001定义了信息安全管理系统(ISMS)的要求。标准的设计确保有充分的、恰当的安全控制措施。这有助于保护信息资产,增强包括客户在内的利害相关方的信心。标准采用过程方法来建立、实施、运行、监控和评审,以维持和提高组织的信息安全。
本次ISO27001审核,此次审核人员指出的问题工作中没有关注到,但却存在很大的安全隐患和风险认真整改。现场审核后,受审核组织对提出的不符合项均进行原因分析并制定了纠正措施,并举一反三,排查所有信息处理设施,取得了良好的管理成效。
本次ISO27001活动由于事先策划准备充分,考虑周全和受评价组织的积极配合,因此非常顺利地完成了整个现场评价。
电话:400-016-9000
邮箱:post@bcc.com.cn
联系地址:北京市东城区广渠门内大街45号D座5层