山東某工程技術(shù)公司IT服務(wù)管理體系二階段審核案例
案例背景
認(rèn)證領(lǐng)域:IT信息服務(wù)管理體系。
受審核組織:山東某工程技術(shù)公司
認(rèn)證范圍:向外部客戶提供計算機應(yīng)用系統(tǒng)軟件運維服務(wù)(本證書體系覆蓋范圍內(nèi)未包含分支機構(gòu))
認(rèn)證標(biāo)準(zhǔn):ISO/IEC 20000-1:2011《信息安全管理體系 要求》
審核類別:二階段審核。
認(rèn)證審核情況
該企業(yè)的經(jīng)營范圍:軟件技術(shù)開發(fā)、技術(shù)咨詢、技術(shù)服務(wù),互聯(lián)網(wǎng)信息服務(wù)(依據(jù)通信管理部門核發(fā)許可證開展經(jīng)營活動),計算機系統(tǒng)數(shù)據(jù)處理,經(jīng)營性互聯(lián)網(wǎng)文化服務(wù),云計算,集成電路有關(guān)的設(shè)計、開發(fā)、技術(shù)服務(wù),[安全評價;環(huán)境影響評價](憑安監(jiān)部門審批的資質(zhì)證書開展經(jīng)營活動),安全技術(shù)、環(huán)保技術(shù)、節(jié)能技術(shù)的技術(shù)研發(fā)、推廣、應(yīng)用、服務(wù),化工、機械工程設(shè)計咨詢,能源評估技術(shù)咨詢。
公司規(guī)模不大,信息服務(wù)基礎(chǔ)比較薄弱,審核組需要通過審核,在企業(yè)管理的各個方面尋找信息安全管理的薄弱環(huán)節(jié),從而達到本次認(rèn)證審核的目的,本次審核為二階段審核。
審核組發(fā)現(xiàn)設(shè)計輸出文檔均保存在設(shè)計人員的電腦中,而公司成立初期,設(shè)計人員少,經(jīng)常攜帶筆記本電腦外出,可能造成設(shè)計輸出文件的丟失和泄露,公司雖然配備了一臺備份服務(wù)器用于存儲設(shè)計文件,但由于管理水平薄弱,相關(guān)人員未系統(tǒng)歸檔設(shè)計文件、及嚴(yán)格執(zhí)行定期備份制度。
審核綜述
通過本次審核,查找管理環(huán)節(jié)管理漏洞,為組織信息安全管理狀態(tài)提供了有效的證據(jù),達到本次審核的目的,得到受審核組織的好評。
本次活動由于事先策劃準(zhǔn)備充分,考慮周全和受評價組織的積極配合,因此非常順利地完成了整個現(xiàn)場評價過程。
電話:400-016-9000
郵箱:post@bcc.com.cn
聯(lián)系地址:北京市東城區(qū)廣渠門內(nèi)大街45號D座5層