四川某信息自動(dòng)化公司ISO27001認(rèn)證審核
國(guó)內(nèi)企業(yè)獲得ISO27001認(rèn)證數(shù)量將會(huì)繼續(xù)保持增長(zhǎng)勢(shì)頭。分析增長(zhǎng)原因,大概有以下幾個(gè)方面的因素:
(1)國(guó)際及國(guó)內(nèi)大的經(jīng)濟(jì)形式發(fā)展,帶動(dòng)軟件業(yè)、服務(wù)外包、芯片制造業(yè)等行業(yè)的發(fā)展,而這類行業(yè)對(duì)于信息安全管理質(zhì)量有較大的需求。
(2)國(guó)家對(duì)于信息安全管理體系認(rèn)證的重視度不斷提升,在某些領(lǐng)域的量化評(píng)比中,將是否獲得27001認(rèn)證列入評(píng)比范疇,推動(dòng)了企業(yè)認(rèn)證的需求。另外,商務(wù)部推行的服務(wù)外包“千百十工程”中對(duì)于企業(yè)進(jìn)行管理體系認(rèn)證的咨詢服務(wù)費(fèi)用將給與適當(dāng)補(bǔ)助。
(3)ISO27001標(biāo)準(zhǔn)從頒布到現(xiàn)在的發(fā)展時(shí)間還不長(zhǎng),作為最佳實(shí)踐集合的第一部分早已經(jīng)被公眾認(rèn)可和接受,但作為認(rèn)證準(zhǔn)則的第二部分,由于舊版本在很多方面存在不足,被接受度就不是太高。不過(guò),隨著改版以及轉(zhuǎn)換為真正的國(guó)際標(biāo)準(zhǔn),新的ISO27001認(rèn)證很快就進(jìn)入一個(gè)突飛猛進(jìn)的發(fā)展階段,這種發(fā)展趨勢(shì)已經(jīng)在近年來(lái)表現(xiàn)非常明顯了,并且會(huì)繼續(xù)保持。
案例背景
認(rèn)證領(lǐng)域:ISO27001信息安全管理體系
受審核組織:四川某信息自動(dòng)化公司
認(rèn)證范圍:與水利信息化進(jìn)行水文水資源監(jiān)測(cè)和防汛抗旱信息系統(tǒng)集成的設(shè)計(jì)、實(shí)施和運(yùn)維服務(wù)相關(guān)的信息安全管理
認(rèn)證標(biāo)準(zhǔn):GB/T22080-2016/ISO/IEC27001:2013
審核類別:第一次監(jiān)督審核
認(rèn)證審核情況
該企業(yè)的經(jīng)營(yíng)范圍:計(jì)算機(jī)網(wǎng)絡(luò)工程設(shè)計(jì)、施工;計(jì)算機(jī)設(shè)備開(kāi)發(fā)及軟硬件銷售;水文水資源監(jiān)測(cè)與防汛抗旱指揮系統(tǒng)設(shè)計(jì)、施工及系統(tǒng)維護(hù)服務(wù);水文儀器及其應(yīng)用軟件的研制生產(chǎn)(限分支機(jī)構(gòu)經(jīng)營(yíng));承擔(dān)水利電力調(diào)度自動(dòng)化系統(tǒng)及辦公管理自動(dòng)化系統(tǒng)的設(shè)計(jì)和技術(shù)服務(wù)(以上不含國(guó)家限制項(xiàng)目);建筑智能化系統(tǒng)設(shè)計(jì)、施工;消防工程設(shè)計(jì)、施工;環(huán)保工程設(shè)計(jì)、施工;送變電工程設(shè)計(jì)、施工;計(jì)算機(jī)信息系統(tǒng)安全工程設(shè)計(jì)、施工;地理信息系統(tǒng)工程;地理信息數(shù)據(jù)采集、地理信息數(shù)據(jù)處理、地理信息系統(tǒng)及數(shù)據(jù)庫(kù)建設(shè);工程測(cè)量;控制測(cè)量、地形測(cè)量、規(guī)劃測(cè)量、建筑工程測(cè)量、市政工程測(cè)量、水利工程測(cè)量、線路與橋隧測(cè)量;不動(dòng)產(chǎn)測(cè)繪;地籍測(cè)繪。
公司規(guī)模為20人左右,本次審核主要包括財(cái)務(wù)、行政、人資等部門(mén),審核過(guò)程中了解到,該企業(yè)使用了域控對(duì)整個(gè)集團(tuán)公司進(jìn)行了管控,所有計(jì)算機(jī)均納入AD域進(jìn)行管理控制,整體訪問(wèn)控制、軟件安裝、殺毒終端等均做了統(tǒng)一部署和控制。采用了4臺(tái)防病毒服務(wù)器進(jìn)行統(tǒng)一的病毒防御查殺,以防護(hù)公司整體網(wǎng)絡(luò)不受病毒攻擊。
審核組發(fā)現(xiàn)防病毒服務(wù)器管理人員(網(wǎng)絡(luò)管理員)溝通,認(rèn)為主要的技術(shù)問(wèn)題是終端電腦殺毒軟件功能模塊損壞,導(dǎo)致服務(wù)器端無(wú)法對(duì)其進(jìn)行更新升級(jí)和開(kāi)啟防護(hù)功能。而管理方面,公司未制定相關(guān)的防病毒巡查制度要求,管理員也以為安裝好了服務(wù)器端并設(shè)置好各種策略就全部自動(dòng)運(yùn)行,不需要查看,從而導(dǎo)致該問(wèn)題一直存在。
審核綜述
ISO/IEC27001定義了信息安全管理系統(tǒng)(ISMS)的要求。標(biāo)準(zhǔn)的設(shè)計(jì)確保有充分的、恰當(dāng)?shù)陌踩刂拼胧?。這有助于保護(hù)信息資產(chǎn),增強(qiáng)包括客戶在內(nèi)的利害相關(guān)方的信心。標(biāo)準(zhǔn)采用過(guò)程方法來(lái)建立、實(shí)施、運(yùn)行、監(jiān)控和評(píng)審,以維持和提高組織的信息安全。
本次ISO27001審核,在企業(yè)本身實(shí)行了域控的情況下,通過(guò)一個(gè)服務(wù)器端查看到整個(gè)企業(yè)的所有終端防病毒情況,以及密碼策略、訪問(wèn)控制策略、桌面控制策略等,不會(huì)遺漏任何一個(gè)終端,這是抽樣所不能比擬的全范圍,杜絕了抽樣的偶然性,從而得到完整的審核發(fā)現(xiàn)。
本次ISO27001活動(dòng)由于事先策劃準(zhǔn)備充分,考慮周全和受評(píng)價(jià)組織的積極配合,因此非常順利地完成了整個(gè)現(xiàn)場(chǎng)評(píng)價(jià)。
Tel:400-016-9000
Fax:010-58561801
Post:POST@BCC.COM.CN
聯(lián)系地址:5 / F, Building D, 45 Guangqumen Nei Street, Dongcheng District, Beijing