信息安全管理体系审核实践.PDFVIP

信息安全管理体系审核实践 引导企业逐步全方位加强信息安全管理 推荐机构：北京新世纪检验认证有限公司 案例交流人：宋鹏 一、 受审核方背景 1、 受审核组织：北京国双科技有限公司 2、 认证领域及审核性质：信息安全管理体系 初次审核 3、 现场审核时间：2018 年 3 月 28-30 日 4、 审核人员：宋鹏（组长） 罗海鹰（组员） 李孟显（组员） 文艺杰（组员） 汪莹（一部） （实习组员） 5、 组织主要产品服务：北京国双科技有限公司经过一阶段审核后，确认经营地址位于北京市海淀区双 榆树小区知春路 76 号翠宫饭店写字楼 8 层、9 层 A 区、10层、11层、12 层和 14 层，其主要业务 过程是云计算企业级大数据分析和人工智能解决方案提供商，主要为司法，新媒体（如网络电视 台,OTT 视频点播）主要做节目播出效果检测，同时也为政府部门提供相应产品，同时公司的所有 业务都在信息安全管理体系范围内；此次认证范围是：与基于大数据与人工智能技术的软件开发、 技术运维、技术咨询、系统集成服务相关的信息安全管理；适用性声明：Q/ISMS-A-03 版本：A/0 ； SOA 文件中只删减了 A14.2.7 一条控制措施； 二、 审核过程 1、 审核准则与目的 此 次 审 核 是 应 我 公 司 的 委 派 实 施 的 第 三 方 审 核 ， 审 核 过 程 依 据 国 标 GB/T22080-2016/ISO/IEC27001:2013，公司的信息安全管理体系文件以及适应的法律法规（参见 受审核组织收集的法律法规清单）；审核的主要目的是评价组织信息安全管理体系的建立、运行的 符合性及有效性，以确定能否推荐认证注册。 2、 受审核组织结构与信息安全职责 公司由领导层、技术部、运营管理部、财务部、商业事业群、政企业务部组成，在此基础上成立信 息安全小组，统一组织领导公司的信息安全体系的实施，由管代任组长定期向最高管理者汇报 ISMS 运行情况；其中： 1） 领导层/信息安全小组 负责组织实施管理体系的策划、实施、运行、检测和改进，具体体现在 ISMS 职责分配、文件 的审批、信息安全风险管控、内审和管理评审实施等； 2） 技术部 负责软件开发与技术运维过程，公司 IT 网络（含机房和 IDC 机房）以及计算机设备管理过程 的信息安全管理； 3） 运营管理部 运营管理部主要负责公司运营支持过程，分别由行政部、人力资源部、法务部、合同部、知识 产权部、公关部和市场部组成。负责公司的人事、行政、法律法规合规评价、合同管理、对外 公关以及市场品牌宣传过程管理等； 4） 财务部 负责公司财务预决算、财务报表、报税等工作，并保证财务数据的可用、准确和安全； 5） 商业事业群 领完成公司下达的区域销售任务指标，在市场部门配合下制定产品、解决方案的销售计划和方 法；保证客户信息安全； 6） 政企业务部 负责承接系统集成、咨询服务项目，售前方案部门将所有材料，包括完整的设计(或施工)方案、 设备订购详单交给该系统集成项目的项目经理；并且在项目实施过程中保证相关方的信息安全； 3、 受审核组织的管理特点与审核方式 受审核组织人员相对较多有近 200 人，组织结构分工明确，特别是管理过程的信息化程度较高。使 用 gitlab系统、OA系统、邮箱系统、HR系统、客服信息管理系统、合同管理系统和用友财务系统 等分别管理着软件开发、办公过程、人事管理等过程中的信息安全管理； 公司有上级公司的隶属关系，和上级公司在一起办公