云南某互聯(lián)網(wǎng)科技公司IT服務(wù)管理一階段審核案例
案例背景
認(rèn)證領(lǐng)域:IT信息服務(wù)管理體系。
受審核組織:云南某互聯(lián)網(wǎng)科技公司
認(rèn)證范圍:向外部客戶提供計(jì)算機(jī)信息系統(tǒng)軟、硬件運(yùn)維服務(wù)
認(rèn)證標(biāo)準(zhǔn):ISO/IEC 20000-1:2011《信息安全管理體系 要求》
審核類別:一階段審核。
認(rèn)證審核情況
該企業(yè)的經(jīng)營范圍:計(jì)算機(jī)軟硬件、電子產(chǎn)品的研究、開發(fā)、應(yīng)用及技術(shù)咨詢、技術(shù)服務(wù);計(jì)算機(jī)系統(tǒng)集成及綜合布線;通訊產(chǎn)品、電信設(shè)備、家具、教學(xué)軟件、電子產(chǎn)品的銷售;教育信息咨詢;數(shù)據(jù)采集、整理、存儲(chǔ)及分析;互聯(lián)網(wǎng)信息服務(wù);建筑裝修裝飾工程、安全防范工程、消防設(shè)施工程、電子與智能化工程的設(shè)計(jì)、施工。
公司規(guī)模為30人,信息服務(wù)基礎(chǔ)比較薄弱,審核組需要通過審核,在企業(yè)管理的各個(gè)方面尋找信息安全管理的薄弱環(huán)節(jié),從而達(dá)到本次認(rèn)證審核的目的,本次審核為初審一階段。
審核組發(fā)現(xiàn)盡管公司口頭討論了連續(xù)性方案并實(shí)施,但在實(shí)際災(zāi)難來臨時(shí),許多操作人員常常驚慌失措而遺漏相關(guān)步驟。此外,非書面文檔也會(huì)使得相關(guān)參與人員難以測試和修訂連續(xù)性方案,并難以持續(xù)改進(jìn)。
對災(zāi)難應(yīng)對的大部分工作主要由系統(tǒng)部網(wǎng)絡(luò)管理員負(fù)責(zé),公司也規(guī)定了網(wǎng)絡(luò)管理員不在現(xiàn)場時(shí)由系統(tǒng)部負(fù)責(zé)人承擔(dān)網(wǎng)絡(luò)管理員的職責(zé),但在訪談時(shí)發(fā)現(xiàn)部門負(fù)責(zé)人并不知曉關(guān)鍵主機(jī)的具體IP 地址,對于備份數(shù)據(jù)所處位置和防火墻策略設(shè)置的具體細(xì)節(jié)也不太清楚。
審核綜述
通過本次審核,查找管理環(huán)節(jié)管理漏洞,為組織信息安全管理狀態(tài)提供了有效的證據(jù),達(dá)到本次審核的目的,得到受審核組織的好評。
本次活動(dòng)由于事先策劃準(zhǔn)備充分,考慮周全和受評價(jià)組織的積極配合,因此非常順利地完成了整個(gè)現(xiàn)場評價(jià)過程。
Tel:400-016-9000
Fax:010-58561801
Post:POST@BCC.COM.CN
聯(lián)系地址:5 / F, Building D, 45 Guangqumen Nei Street, Dongcheng District, Beijing