北京某石油科技公司ISO27001生產(chǎn)現(xiàn)場

國內(nèi)企業(yè)對于ISO27001認(rèn)證需求在近幾年有明顯增長。據(jù)不完全統(tǒng)計，截止到2018年10月份國內(nèi)獲得的1.2萬多張證書?？梢姡@兩年國內(nèi)企業(yè)對于信息安全管理體系認(rèn)證需求是突飛猛進(jìn)的。

　　ISO27001標(biāo)準(zhǔn)從頒布到現(xiàn)在的發(fā)展時間還不長，作為最佳實踐集合的第一部分早已經(jīng)被公眾認(rèn)可和接受，但作為認(rèn)證準(zhǔn)則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉(zhuǎn)換為真正的國際標(biāo)準(zhǔn)，新的ISO27001認(rèn)證很快就進(jìn)入一個突飛猛進(jìn)的發(fā)展階段，這種發(fā)展趨勢已經(jīng)在近年來表現(xiàn)非常明顯了，并且會繼續(xù)保持。

案例背景

認(rèn)證領(lǐng)域：ISO27001信息安全管理體系

受審核組織：北京某石油科技公司

認(rèn)證范圍：與油氣田數(shù)字化系統(tǒng)的研發(fā)及集成服務(wù)相關(guān)的信息安全管理。

認(rèn)證標(biāo)準(zhǔn)：GB/T22080-2016/ISO/IEC27001:2013

審核類別：生產(chǎn)現(xiàn)場審核

a

認(rèn)證審核情況

　　該企業(yè)的經(jīng)營范圍：專業(yè)承包、施工總承包；資產(chǎn)評估；石油、天然氣開采技術(shù)開發(fā)、技術(shù)咨詢、技術(shù)推廣、技術(shù)轉(zhuǎn)讓；油氣田工程技術(shù)服務(wù)、銷售化工產(chǎn)品（不含化學(xué)危險品）、機(jī)械設(shè)備、電子產(chǎn)品、計算機(jī)、軟件及輔助設(shè)備；軟件開發(fā)、計算機(jī)系統(tǒng)服務(wù)；工業(yè)泵、壓力管道元件（球閥、截（切）斷閥、閘閥、電磁閥、調(diào)節(jié)閥等）、石油化工設(shè)備、機(jī)電一體化設(shè)備制造（限分支機(jī)構(gòu)經(jīng)營）；生產(chǎn)化工產(chǎn)品（不含危險化學(xué)品）（限分支機(jī)構(gòu)經(jīng)營）；生產(chǎn)天然氣壓縮機(jī)（限分支機(jī)構(gòu)經(jīng)營）；貨物進(jìn)出口、代理進(jìn)出口、技術(shù)進(jìn)出口；出租辦公用房。

　　公司規(guī)模為40人左右，此次審核由于質(zhì)量部門制定《訪問控制實施規(guī)范》并負(fù)責(zé)監(jiān)督落實情況，受技術(shù)水平限制，該部門對信息系統(tǒng)訪問控制的實際情況的了解僅停留在各部門的報告上，所以對具體控制措施要求不明確、針對性不強(qiáng)，導(dǎo)致可操作性也不夠。

　　相關(guān)人員對用戶訪問權(quán)限及時注銷和復(fù)查理解不到位，尤其對涉及敏感信息的系統(tǒng)的訪問控制沒有上升到事關(guān)組織信息泄露風(fēng)險的層面。

審核綜述

ISO/IEC27001定義了信息安全管理系統(tǒng)（ISMS）的要求。標(biāo)準(zhǔn)的設(shè)計確保有充分的、恰當(dāng)?shù)陌踩刂拼胧?。這有助于保護(hù)信息資產(chǎn)，增強(qiáng)包括客戶在內(nèi)的利害相關(guān)方的信心。標(biāo)準(zhǔn)采用過程方法來建立、實施、運行、監(jiān)控和評審，以維持和提高組織的信息安全。

本次ISO27001審核，通過整改保證了能及時清理和檢查應(yīng)用系統(tǒng)的用戶訪問權(quán)限，降低了客戶信息泄露的風(fēng)險；對用戶訪問管理如何在組織內(nèi)的落地實施和檢查有了很深刻的理解；大大提高了全體員工對用戶訪問管理重要性的認(rèn)識，提高了人員的安全意識。

本次ISO27001活動由于事先策劃準(zhǔn)備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現(xiàn)場評價。