國內(nèi)企業(yè)獲得ISO27001認證數(shù)量將會繼續(xù)保持增長勢頭。分析增長原因，大概有以下幾個方面的因素：

（1）國際及國內(nèi)大的經(jīng)濟形式發(fā)展，帶動軟件業(yè)、服務(wù)外包、芯片制造業(yè)等行業(yè)的發(fā)展，而這類行業(yè)對于信息安全管理質(zhì)量有較大的需求。

（2）國家對于信息安全管理體系認證的重視度不斷提升，在某些領(lǐng)域的量化評比中，將是否獲得27001認證列入評比范疇，推動了企業(yè)認證的需求。另外，商務(wù)部推行的服務(wù)外包“千百十工程”中對于企業(yè)進行管理體系認證的咨詢服務(wù)費用將給與適當補助。

（3）ISO27001標準從頒布到現(xiàn)在的發(fā)展時間還不長，作為最佳實踐集合的第一部分早已經(jīng)被公眾認可和接受，但作為認證準則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉(zhuǎn)換為真正的國際標準，新的ISO27001認證很快就進入一個突飛猛進的發(fā)展階段，這種發(fā)展趨勢已經(jīng)在近年來表現(xiàn)非常明顯了，并且會繼續(xù)保持。

案例背景

認證領(lǐng)域：ISO27001信息安全管理體系

受審核組織：四川某信息自動化公司

認證范圍：與水利信息化進行水文水資源監(jiān)測和防汛抗旱信息系統(tǒng)集成的設(shè)計、實施和運維服務(wù)相關(guān)的信息安全管理

認證標準：GB/T22080-2016/ISO/IEC27001:2013

審核類別：第一次監(jiān)督審核

認證審核情況

　　該企業(yè)的經(jīng)營范圍：計算機網(wǎng)絡(luò)工程設(shè)計、施工；計算機設(shè)備開發(fā)及軟硬件銷售；水文水資源監(jiān)測與防汛抗旱指揮系統(tǒng)設(shè)計、施工及系統(tǒng)維護服務(wù)；水文儀器及其應(yīng)用軟件的研制生產(chǎn)（限分支機構(gòu)經(jīng)營）；承擔水利電力調(diào)度自動化系統(tǒng)及辦公管理自動化系統(tǒng)的設(shè)計和技術(shù)服務(wù)（以上不含國家限制項目）；建筑智能化系統(tǒng)設(shè)計、施工；消防工程設(shè)計、施工；環(huán)保工程設(shè)計、施工；送變電工程設(shè)計、施工；計算機信息系統(tǒng)安全工程設(shè)計、施工；地理信息系統(tǒng)工程；地理信息數(shù)據(jù)采集、地理信息數(shù)據(jù)處理、地理信息系統(tǒng)及數(shù)據(jù)庫建設(shè)；工程測量；控制測量、地形測量、規(guī)劃測量、建筑工程測量、市政工程測量、水利工程測量、線路與橋隧測量；不動產(chǎn)測繪；地籍測繪。

　　公司規(guī)模為20人左右，本次審核主要包括財務(wù)、行政、人資等部門，審核過程中了解到，該企業(yè)使用了域控對整個集團公司進行了管控，所有計算機均納入AD域進行管理控制，整體訪問控制、軟件安裝、殺毒終端等均做了統(tǒng)一部署和控制。采用了4臺防病毒服務(wù)器進行統(tǒng)一的病毒防御查殺，以防護公司整體網(wǎng)絡(luò)不受病毒攻擊。

　　審核組發(fā)現(xiàn)防病毒服務(wù)器管理人員（網(wǎng)絡(luò)管理員）溝通，認為主要的技術(shù)問題是終端電腦殺毒軟件功能模塊損壞，導(dǎo)致服務(wù)器端無法對其進行更新升級和開啟防護功能。而管理方面，公司未制定相關(guān)的防病毒巡查制度要求，管理員也以為安裝好了服務(wù)器端并設(shè)置好各種策略就全部自動運行，不需要查看，從而導(dǎo)致該問題一直存在。

審核綜述

　　ISO/IEC27001定義了信息安全管理系統(tǒng)（ISMS）的要求。標準的設(shè)計確保有充分的、恰當?shù)陌踩刂拼胧?。這有助于保護信息資產(chǎn)，增強包括客戶在內(nèi)的利害相關(guān)方的信心。標準采用過程方法來建立、實施、運行、監(jiān)控和評審，以維持和提高組織的信息安全。

　　本次ISO27001審核，在企業(yè)本身實行了域控的情況下，通過一個服務(wù)器端查看到整個企業(yè)的所有終端防病毒情況，以及密碼策略、訪問控制策略、桌面控制策略等，不會遺漏任何一個終端，這是抽樣所不能比擬的全范圍，杜絕了抽樣的偶然性，從而得到完整的審核發(fā)現(xiàn)。

　　本次ISO27001活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現(xiàn)場評價。