ISO27001標準從頒布到現在的發展時間還不長，作為最佳實踐集合的第一部分早已經被公眾認可和接受，但作為認證準則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉換為真正的國際標準，新的ISO27001認證很快就進入一個突飛猛進的發展階段，這種發展趨勢已經在近年來表現非常明顯了，并且會繼續保持。

案例背景

認證領域：ISO27001信息安全管理體系

受審核組織：北京某石油科技公司

認證范圍：與油氣田數字化系統的研發及集成服務相關的信息安全管理。

認證標準：GB/T22080-2016/ISO/IEC27001:2013

審核類別：生產現場審核

認證審核情況

　　該企業的經營范圍：專業承包、施工總承包；資產評估；石油、天然氣開采技術開發、技術咨詢、技術推廣、技術轉讓；油氣田工程技術服務、銷售化工產品（不含化學危險品）、機械設備、電子產品、計算機、軟件及輔助設備；軟件開發、計算機系統服務；工業泵、壓力管道元件（球閥、截（切）斷閥、閘閥、電磁閥、調節閥等）、石油化工設備、機電一體化設備制造（限分支機構經營）；生產化工產品（不含危險化學品）（限分支機構經營）；生產天然氣壓縮機（限分支機構經營）；貨物進出口、代理進出口、技術進出口；出租辦公用房。

　　公司規模為40人左右，此次審核由于質量部門制定《訪問控制實施規范》并負責監督落實情況，受技術水平限制，該部門對信息系統訪問控制的實際情況的了解僅停留在各部門的報告上，所以對具體控制措施要求不明確、針對性不強，導致可操作性也不夠。

　　相關人員對用戶訪問權限及時注銷和復查理解不到位，尤其對涉及敏感信息的系統的訪問控制沒有上升到事關組織信息泄露風險的層面。

審核綜述

ISO/IEC27001定義了信息安全管理系統（ISMS）的要求。標準的設計確保有充分的、恰當的安全控制措施。這有助于保護信息資產，增強包括客戶在內的利害相關方的信心。標準采用過程方法來建立、實施、運行、監控和評審，以維持和提高組織的信息安全。

本次ISO27001審核，通過整改保證了能及時清理和檢查應用系統的用戶訪問權限，降低了客戶信息泄露的風險；對用戶訪問管理如何在組織內的落地實施和檢查有了很深刻的理解；大大提高了全體員工對用戶訪問管理重要性的認識，提高了人員的安全意識。

本次ISO27001活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現場評價。