ISO27001標(biāo)準(zhǔn)從頒布到現(xiàn)在的發(fā)展時(shí)間還不長(zhǎng)，作為最佳實(shí)踐集合的第一部分早已經(jīng)被公眾認(rèn)可和接受，但作為認(rèn)證準(zhǔn)則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉(zhuǎn)換為真正的國(guó)際標(biāo)準(zhǔn)，新的ISO27001認(rèn)證很快就進(jìn)入一個(gè)突飛猛進(jìn)的發(fā)展階段，這種發(fā)展趨勢(shì)已經(jīng)在近年來表現(xiàn)非常明顯了，并且會(huì)繼續(xù)保持。

案例背景

認(rèn)證領(lǐng)域：ISO27001信息安全管理體系

受審核組織：北京某信息技術(shù)公司

認(rèn)證范圍：與資質(zhì)范圍內(nèi)的地理信息系統(tǒng)工程（地理信息數(shù)據(jù)采集、地理信息數(shù)據(jù)處理、地理信息系統(tǒng)及數(shù)據(jù)庫建設(shè)、地理信息軟件開發(fā)）、工程測(cè)量、不動(dòng)產(chǎn)測(cè)繪，數(shù)字化加工服務(wù)相關(guān)的信息安全管理。

認(rèn)證標(biāo)準(zhǔn)：GB/T22080-2016/ISO/IEC27001:2013

審核類別：一階段審核

認(rèn)證審核情況

　　該企業(yè)的經(jīng)營(yíng)范圍：技術(shù)推廣、技術(shù)服務(wù)、技術(shù)咨詢、技術(shù)開發(fā)、技術(shù)轉(zhuǎn)讓；遙感地質(zhì)勘查；環(huán)境監(jiān)測(cè)；水污染治理；大氣污染治理；土壤污染治理與修復(fù)；數(shù)據(jù)處理；計(jì)算機(jī)系統(tǒng)服務(wù)；基礎(chǔ)軟件服務(wù)；應(yīng)用軟件服務(wù)；銷售計(jì)算機(jī)、軟件及輔助設(shè)備、電子產(chǎn)品、機(jī)械設(shè)備；建設(shè)工程項(xiàng)目管理；工程勘察設(shè)計(jì)；測(cè)繪服務(wù)。

　　公司規(guī)模為20人左右，此次審核主要是信息安全體系的建立、實(shí)施，特別是信息安全控制措施的落實(shí)情況。抽查網(wǎng)絡(luò)設(shè)備-研發(fā)交換機(jī)（IP：192.168.**.2），登錄該交換機(jī)發(fā)現(xiàn)其系統(tǒng)顯示時(shí)間與NTP服務(wù)器時(shí)間相差28小時(shí)左右，判定研發(fā)交換機(jī)未按要求與NTP同步。

　　原因是由于計(jì)算機(jī)或通信設(shè)備大多有能力運(yùn)行實(shí)時(shí)時(shí)鐘，但這些時(shí)鐘可能隨時(shí)間漂移，所以應(yīng)有一個(gè)核查和校準(zhǔn)時(shí)鐘發(fā)生較大變化的規(guī)程。而正確設(shè)置計(jì)算機(jī)時(shí)鐘對(duì)于確保審計(jì)記錄的準(zhǔn)確性非常重要，審計(jì)日志可用于調(diào)查或作為法律、紀(jì)律處理的證據(jù)，不準(zhǔn)確的審計(jì)日志可能妨礙這種調(diào)查，并損害這種證據(jù)的可信性。所以信息處理設(shè)施保持時(shí)鐘同步對(duì)一個(gè)組織來說至關(guān)重要。

審核綜述

　　ISO/IEC27001定義了信息安全管理系統(tǒng)（ISMS）的要求。標(biāo)準(zhǔn)的設(shè)計(jì)確保有充分的、恰當(dāng)?shù)陌踩刂拼胧?。這有助于保護(hù)信息資產(chǎn)，增強(qiáng)包括客戶在內(nèi)的利害相關(guān)方的信心。標(biāo)準(zhǔn)采用過程方法來建立、實(shí)施、運(yùn)行、監(jiān)控和評(píng)審，以維持和提高組織的信息安全。

　　本次ISO27001審核，此次審核人員指出的問題工作中沒有關(guān)注到，但卻存在很大的安全隱患和風(fēng)險(xiǎn)認(rèn)真整改?，F(xiàn)場(chǎng)審核后，受審核組織對(duì)提出的不符合項(xiàng)均進(jìn)行原因分析并制定了糾正措施，并舉一反三，排查所有信息處理設(shè)施，取得了良好的管理成效。

　　本次ISO27001活動(dòng)由于事先策劃準(zhǔn)備充分，考慮周全和受評(píng)價(jià)組織的積極配合，因此非常順利地完成了整個(gè)現(xiàn)場(chǎng)評(píng)價(jià)。