案例背景

認證領域：IT信息服務管理體系。

受審核組織：山東某工程技術公司

認證范圍：向外部客戶提供計算機應用系統(tǒng)軟件運維服務（本證書體系覆蓋范圍內未包含分支機構）

認證標準：ISO/IEC 20000-1:2011《信息安全管理體系 要求》

審核類別：二階段審核。

認證審核情況

　　該企業(yè)的經營范圍：軟件技術開發(fā)、技術咨詢、技術服務，互聯網信息服務（依據通信管理部門核發(fā)許可證開展經營活動），計算機系統(tǒng)數據處理，經營性互聯網文化服務，云計算，集成電路有關的設計、開發(fā)、技術服務，[安全評價；環(huán)境影響評價]（憑安監(jiān)部門審批的資質證書開展經營活動），安全技術、環(huán)保技術、節(jié)能技術的技術研發(fā)、推廣、應用、服務，化工、機械工程設計咨詢，能源評估技術咨詢。

　　公司規(guī)模不大，信息服務基礎比較薄弱，審核組需要通過審核，在企業(yè)管理的各個方面尋找信息安全管理的薄弱環(huán)節(jié)，從而達到本次認證審核的目的，本次審核為二階段審核。

　　審核組發(fā)現設計輸出文檔均保存在設計人員的電腦中，而公司成立初期，設計人員少，經常攜帶筆記本電腦外出，可能造成設計輸出文件的丟失和泄露，公司雖然配備了一臺備份服務器用于存儲設計文件，但由于管理水平薄弱，相關人員未系統(tǒng)歸檔設計文件、及嚴格執(zhí)行定期備份制度。

審核綜述

　　通過本次審核，查找管理環(huán)節(jié)管理漏洞，為組織信息安全管理狀態(tài)提供了有效的證據，達到本次審核的目的，得到受審核組織的好評。

　　本次活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現場評價過程。