案例背景

認(rèn)證領(lǐng)域：IT信息服務(wù)管理體系。

受審核組織：山東某工程技術(shù)公司

認(rèn)證范圍：向外部客戶(hù)提供計(jì)算機(jī)應(yīng)用系統(tǒng)軟件運(yùn)維服務(wù)（本證書(shū)體系覆蓋范圍內(nèi)未包含分支機(jī)構(gòu)）

認(rèn)證標(biāo)準(zhǔn)：ISO/IEC 20000-1:2011《信息安全管理體系 要求》

審核類(lèi)別：二階段審核。

認(rèn)證審核情況

　　該企業(yè)的經(jīng)營(yíng)范圍：軟件技術(shù)開(kāi)發(fā)、技術(shù)咨詢(xún)、技術(shù)服務(wù)，互聯(lián)網(wǎng)信息服務(wù)（依據(jù)通信管理部門(mén)核發(fā)許可證開(kāi)展經(jīng)營(yíng)活動(dòng)），計(jì)算機(jī)系統(tǒng)數(shù)據(jù)處理，經(jīng)營(yíng)性互聯(lián)網(wǎng)文化服務(wù)，云計(jì)算，集成電路有關(guān)的設(shè)計(jì)、開(kāi)發(fā)、技術(shù)服務(wù)，[安全評(píng)價(jià)；環(huán)境影響評(píng)價(jià)]（憑安監(jiān)部門(mén)審批的資質(zhì)證書(shū)開(kāi)展經(jīng)營(yíng)活動(dòng)），安全技術(shù)、環(huán)保技術(shù)、節(jié)能技術(shù)的技術(shù)研發(fā)、推廣、應(yīng)用、服務(wù)，化工、機(jī)械工程設(shè)計(jì)咨詢(xún)，能源評(píng)估技術(shù)咨詢(xún)。

　　公司規(guī)模不大，信息服務(wù)基礎(chǔ)比較薄弱，審核組需要通過(guò)審核，在企業(yè)管理的各個(gè)方面尋找信息安全管理的薄弱環(huán)節(jié)，從而達(dá)到本次認(rèn)證審核的目的，本次審核為二階段審核。

　　審核組發(fā)現(xiàn)設(shè)計(jì)輸出文檔均保存在設(shè)計(jì)人員的電腦中，而公司成立初期，設(shè)計(jì)人員少，經(jīng)常攜帶筆記本電腦外出，可能造成設(shè)計(jì)輸出文件的丟失和泄露，公司雖然配備了一臺(tái)備份服務(wù)器用于存儲(chǔ)設(shè)計(jì)文件，但由于管理水平薄弱，相關(guān)人員未系統(tǒng)歸檔設(shè)計(jì)文件、及嚴(yán)格執(zhí)行定期備份制度。

審核綜述

　　通過(guò)本次審核，查找管理環(huán)節(jié)管理漏洞，為組織信息安全管理狀態(tài)提供了有效的證據(jù)，達(dá)到本次審核的目的，得到受審核組織的好評(píng)。

　　本次活動(dòng)由于事先策劃準(zhǔn)備充分，考慮周全和受評(píng)價(jià)組織的積極配合，因此非常順利地完成了整個(gè)現(xiàn)場(chǎng)評(píng)價(jià)過(guò)程。