案例背景

認證領域：IT信息服務管理體系。

受審核組織：云南某互聯網科技公司

認證范圍：向外部客戶提供計算機信息系統軟、硬件運維服務

認證標準：ISO/IEC 20000-1:2011《信息安全管理體系 要求》

審核類別：一階段審核。

認證審核情況

　　該企業的經營范圍：計算機軟硬件、電子產品的研究、開發、應用及技術咨詢、技術服務；計算機系統集成及綜合布線；通訊產品、電信設備、家具、教學軟件、電子產品的銷售；教育信息咨詢；數據采集、整理、存儲及分析；互聯網信息服務；建筑裝修裝飾工程、安全防范工程、消防設施工程、電子與智能化工程的設計、施工。

　　公司規模為30人，信息服務基礎比較薄弱，審核組需要通過審核，在企業管理的各個方面尋找信息安全管理的薄弱環節，從而達到本次認證審核的目的，本次審核為初審一階段。

　　審核組發現盡管公司口頭討論了連續性方案并實施，但在實際災難來臨時，許多操作人員常常驚慌失措而遺漏相關步驟。此外，非書面文檔也會使得相關參與人員難以測試和修訂連續性方案，并難以持續改進。

　　對災難應對的大部分工作主要由系統部網絡管理員負責，公司也規定了網絡管理員不在現場時由系統部負責人承擔網絡管理員的職責，但在訪談時發現部門負責人并不知曉關鍵主機的具體IP 地址，對于備份數據所處位置和防火墻策略設置的具體細節也不太清楚。

審核綜述

　　通過本次審核，查找管理環節管理漏洞，為組織信息安全管理狀態提供了有效的證據，達到本次審核的目的，得到受審核組織的好評。

　　本次活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現場評價過程。