34 广州市品高软件开发有限公司ISMS审核案例【荐】.pdfVIP

广州市品高软件开发有限公司ISMS 审核案例 认证机构：广州赛宝认证中心 审核类型：信息安全初次审核 审核员：肖锟 （组长）； 1、案例发生的背景 受审核方广州市品高软件开发有限公司注重人力资源建设、 坚持技术创新和管理创新，不断更新软、硬件设备和信息化支持 工具，具备了整套自主开发、研究创新和分析能力。为确保生产 工作的顺利进行， 2014 年 该 公司 依据 GBMS/T 22080-2008/ISO/IEVSN 27001 ：2005 标准建立了信息安全管理体 系。 2014 年是对广州市品高软件开发有限公司的初次审核，如 何结合审核给公司提供一些有价值的审核成为本次审核的关注 要点。 2 、审核案例发现和沟通过程 企业维持正常业务运转需要依靠硬件、软件、人员、信息等 各类资产，如果其中一项或多项资产由于某种原因无法使用，公 司的正常业务就会受到影响。这些资产缺失的时间越长，公司恢 复正常运作就需要花费越长的时间。为防止公司业务活动中断， 1 保护关键业务过程免受信息系统重大失误或灾难影响，并确保及 时恢复，在国标GB/T 22080-2008/ ISO/IEC 27001:2005 A.14.1.3 明确提出企业在业务连续性管理的信息安全方面应制定和实施 包含信息安全的连续性计划。 在审核支撑广州市品高软件开发有限公司日常业务运作的 应用系统时发现该应用系统存在中断或失败后不能在业务需要 的水平和时间内恢复的风险。 广州市品高软件开发有限公司依据标准制定了《业务持续性 计划和管理程序》，依据该程序文件对各支撑业务的各信息系统 进行管理。公司在3 台DC 上运行应用系统，每台DC 都拥有独 立的GC 及数据库，单台机器可以独立工作，就算其中有一台损 坏在DC 网络可通的情况下可以自行切换到另外一台正常的DC 进行工作，各DC 间进行数据同步。 但我们在审核时，发现： （1） 通过查看公司提供的《业务持续性和影响分析报 告》，知道广州市品高软件开发有限公司最重要的信息系统是运 行在DC 上的应用系统，该应用系统统管生产和管理调度，具有 高度必威体育官网网址性、可用性和完整性。 （2 ） 访谈业务人员了解到员工需要通过网络才能访问 DC 上的应用系统，DC 应用系统的用户访问控制借助AD 域实 现。公司在AD 域上采用单域环境，总共分布在2 个地方，有3 2 台域控制器。AD 域用于公司人员账号管理、文件及应用系统的 权限认证、普通PC 机的管理及控制。 （3 ） 访谈相关人员，相关人员认为维护 DC 应用系统涉 及的人员不多，口头交流讨论即可确定连续性方案，未制订书面 的应用系统相关的连续性实施计划，且口头商定的连续性方案仅 涉及DC 应用系统本身，未涉及网络和AD 域的恢复。查现场提 供了《业务持续性管理计划测试报告（DC 应用系统）》和《业务 持续性管理计划评审报告（DC 应用系统）》。 问题分析： （1）尽管公司口头讨论了连续性方案并实施，但在实际灾 难来临时，许多操作人员常常惊慌失措而遗漏相关步骤。此外， 非书面文档也会使得相关参与人员难以测试和修订连续性方案， 并难以持续改进。 （2 ）由于DC 应用系统的运行需要网络和AD 域的支持， 如果网络或AD 域不能正常工作的话，则员工无法使用DC 应用 系统，公司业务也难以正常开展。因而公司在考虑DC 应用系统 的业务持续性时还需要考虑网络、AD 域的备份和恢复事宜。 （3 ）对灾难应对的大部分工作主要由系统部网络管理员负 责，公司也规定了网络管理员不在现场时由系统部负责人承担网 络管理员的职责，但在访谈时发现部门负责人并不知晓关键主机 的具体IP 地址，对于备份数据所处位置和防火墙策略设置的具 3 体细节也不太清楚。存在着灾难来临需要恢复系统和防火墙策略 而