案例背景

認證領域：IT信息服務管理體系。

受審核組織：云南某互聯(lián)網(wǎng)科技公司

認證范圍：向外部客戶提供計算機信息系統(tǒng)軟、硬件運維服務

認證標準：ISO/IEC 20000-1:2011《信息安全管理體系 要求》

審核類別：一階段審核。

認證審核情況

　　該企業(yè)的經(jīng)營范圍：計算機軟硬件、電子產(chǎn)品的研究、開發(fā)、應用及技術(shù)咨詢、技術(shù)服務；計算機系統(tǒng)集成及綜合布線；通訊產(chǎn)品、電信設備、家具、教學軟件、電子產(chǎn)品的銷售；教育信息咨詢；數(shù)據(jù)采集、整理、存儲及分析；互聯(lián)網(wǎng)信息服務；建筑裝修裝飾工程、安全防范工程、消防設施工程、電子與智能化工程的設計、施工。

　　公司規(guī)模為30人，信息服務基礎比較薄弱，審核組需要通過審核，在企業(yè)管理的各個方面尋找信息安全管理的薄弱環(huán)節(jié)，從而達到本次認證審核的目的，本次審核為初審一階段。

　　審核組發(fā)現(xiàn)盡管公司口頭討論了連續(xù)性方案并實施，但在實際災難來臨時，許多操作人員常常驚慌失措而遺漏相關(guān)步驟。此外，非書面文檔也會使得相關(guān)參與人員難以測試和修訂連續(xù)性方案，并難以持續(xù)改進。

　　對災難應對的大部分工作主要由系統(tǒng)部網(wǎng)絡管理員負責，公司也規(guī)定了網(wǎng)絡管理員不在現(xiàn)場時由系統(tǒng)部負責人承擔網(wǎng)絡管理員的職責，但在訪談時發(fā)現(xiàn)部門負責人并不知曉關(guān)鍵主機的具體IP 地址，對于備份數(shù)據(jù)所處位置和防火墻策略設置的具體細節(jié)也不太清楚。

審核綜述

　　通過本次審核，查找管理環(huán)節(jié)管理漏洞，為組織信息安全管理狀態(tài)提供了有效的證據(jù)，達到本次審核的目的，得到受審核組織的好評。

　　本次活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現(xiàn)場評價過程。