ISO27001標準從頒布到現在的發展時間還不長，作為最佳實踐集合的第一部分早已經被公眾認可和接受，但作為認證準則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉換為真正的國際標準，新的ISO27001認證很快就進入一個突飛猛進的發展階段，這種發展趨勢已經在近年來表現非常明顯了，并且會繼續保持。

案例背景

認證領域：ISO27001信息安全管理體系

受審核組織：北京某云科技公司

認證范圍：與應用軟件設計開發、系統集成和技術服務相關的信息安全管理（本證書體系覆蓋范圍內未包括分支機構）

認證標準：GB/T22080-2016/ISO/IEC27001:2013

審核類別：第二次監督審核

認證審核情況

　　該企業的經營范圍：技術開發、技術轉讓、技術咨詢、技術服務、技術推廣；產品設計；企業管理咨詢；計算機系統服務；基礎軟件服務；應用軟件服務；軟件開發；軟件咨詢；數據處理（數據處理中的銀行卡中心、PUE值在1.5以上的云計算數據中心除外）；銷售自行開發后的產品、計算機、軟件及輔助設備、電子產品、通訊設備、機械設備；工程設計；測繪服務。

　　公司規模為60人左右，第二次監督審核時發現，技術部軟件開發使用SVN管理源代碼，其備份策略要求備份頻率為每日全備份、備份數據驗證周期為1年。，但審核發現王某僅保留前一天的數據備份。

　　在備份時間充裕或特殊要求情況下，每次均采用全備份也是可行的。但如果僅保留前一天的數據備份，將具有極大的風險，一種可能的情況是當系統崩潰時，恰好前一天的備份也不可用，將導致所有的源代碼永久不可恢復。

審核綜述

　　ISO/IEC27001定義了信息安全管理系統（ISMS）的要求。標準的設計確保有充分的、恰當的安全控制措施。這有助于保護信息資產，增強包括客戶在內的利害相關方的信心。標準采用過程方法來建立、實施、運行、監控和評審，以維持和提高組織的信息安全。

　　本次ISO27001審核，對于企業來說，數據備份系統在IT系統中具有非常重要的地位，數據丟失或損壞很可能造成企業的日常運作無法正常進行，甚至會給企業帶來不可估量的損失，在一定程度上決定了企業的生死。總之，數據備份作為保證數據安全的最后一道防線，是可以把損失降到最低的行之有效的方式。

　　本次ISO27001活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現場評價。