ISMS案例：看審核組如何給路橋公司開出了一般不符合項(xiàng)

路橋公司營運(yùn)養(yǎng)護(hù)文件是營運(yùn)和養(yǎng)護(hù)活動(dòng)中產(chǎn)生的第一手資料，是營運(yùn)養(yǎng)護(hù)業(yè)務(wù)活動(dòng)的真實(shí)記錄，同時(shí)也是日后管理的重要依據(jù)。其對后期高速公路以及橋梁的改建、擴(kuò)建等活動(dòng)具有無可替代的現(xiàn)行使用價(jià)值和憑證價(jià)值。

　　路橋公司營運(yùn)養(yǎng)護(hù)檔案的管理作為營運(yùn)養(yǎng)護(hù)管理中不可或缺的一部分，可謂是保障路橋公司營運(yùn)養(yǎng)護(hù)工作質(zhì)量的基石。而確定營運(yùn)文件和養(yǎng)護(hù)文件的歸檔范圍，作為檔案管理的基礎(chǔ)環(huán)節(jié)，在保障營運(yùn)養(yǎng)護(hù)檔案齊全完整，滿足營運(yùn)養(yǎng)護(hù)業(yè)務(wù)管理實(shí)踐需要，推動(dòng)路橋公司檔案管理制度體系建設(shè)方面，均具有重要作用。

　　信息安全管理體系指的是ISO27001:2013標(biāo)準(zhǔn)。為了更好的管理，該企業(yè)完成了該體系的認(rèn)證初審。

企業(yè)情況

企業(yè)的經(jīng)營范圍有：高速公路的設(shè)計(jì)；施工總承包、專業(yè)承包、勞務(wù)分包；房地產(chǎn)開發(fā)；沿線配套設(shè)施建設(shè)；公路管理、養(yǎng)護(hù)等。

認(rèn)證審核情況

審核依據(jù)：ISO/IEC 27001:2013標(biāo)準(zhǔn)。

該家企業(yè)的審核范圍是：與高速公路收費(fèi)業(yè)務(wù)（不包括ETC）相關(guān)的信息安全管理。初審共安排了10個(gè)人日。

審核組重點(diǎn)查看：

硬件：辦公電腦、服務(wù)器、機(jī)房網(wǎng)絡(luò)設(shè)備、數(shù)據(jù)存儲(chǔ)設(shè)備、監(jiān)控設(shè)備等。

軟件：電腦操作系統(tǒng)、360 殺毒軟件、WPS 辦公軟件、收費(fèi)系統(tǒng)結(jié)賬軟件、數(shù)字視頻監(jiān)控軟件、全程監(jiān)控系統(tǒng)、集團(tuán)OA 系統(tǒng)、集團(tuán)NC 系統(tǒng)；

文檔：監(jiān)控管理工作手冊、管理手冊、部門公章、合同；

數(shù)據(jù)：顧客投訴記錄、無卡車輛申請表、特種車隊(duì)通行情況記錄、自檢自查、設(shè)備維修記錄、電子收費(fèi)退款單、監(jiān)控中心培訓(xùn)記錄、離職人員變更表、機(jī)房外來人員登記、報(bào)損清單、砸車報(bào)告、UPS 室巡查記錄、辦公網(wǎng)絡(luò)拓?fù)鋱D、IP 與MAC地址綁定對照表、軟件管理臺(tái)賬表；

　　針對該審核發(fā)現(xiàn)，審核組開出了ISO/IEC 27001:2013 標(biāo)準(zhǔn)A.12.6.1 條款的一般不符合項(xiàng)。

　　受審核方改進(jìn)成效及驗(yàn)證情況：現(xiàn)場審核后，公司信息安全管理小組針對第一個(gè)不符合項(xiàng)，組織修訂了《信息安全風(fēng)險(xiǎn)評估程序》，對公司各機(jī)關(guān)和各收費(fèi)所重新進(jìn)行了信息資產(chǎn)識別和風(fēng)險(xiǎn)評估工作。

審核綜述

　　通過本次審核，企業(yè)高度認(rèn)可審核組的專業(yè)能力，認(rèn)識到了在介質(zhì)管理和運(yùn)行安全管理方面存在的安全漏洞，以及對公司在信息資產(chǎn)識別和風(fēng)險(xiǎn)評估方法上存在的缺陷，提高了信息安全管理方面的意識和能力。

　　通過本次審核，幫助受審核方發(fā)現(xiàn)管理的不足，進(jìn)一步理解過程控制、監(jiān)視測量、數(shù)據(jù)分析的重要性。