ISO27001標準從頒布到現在的發展時間還不長，作為最佳實踐集合的第一部分早已經被公眾認可和接受，但作為認證準則的第二部分，由于舊版本在很多方面存在不足，被接受度就不是太高。不過，隨著改版以及轉換為真正的國際標準，新的ISO27001認證很快就進入一個突飛猛進的發展階段，這種發展趨勢已經在近年來表現非常明顯了，并且會繼續保持。

案例背景

認證領域：ISO27001信息安全管理體系

受審核組織：北京某信息技術公司

認證范圍：與資質范圍內的地理信息系統工程（地理信息數據采集、地理信息數據處理、地理信息系統及數據庫建設、地理信息軟件開發）、工程測量、不動產測繪，數字化加工服務相關的信息安全管理。

認證標準：GB/T22080-2016/ISO/IEC27001:2013

審核類別：一階段審核

認證審核情況

　　該企業的經營范圍：技術推廣、技術服務、技術咨詢、技術開發、技術轉讓；遙感地質勘查；環境監測；水污染治理；大氣污染治理；土壤污染治理與修復；數據處理；計算機系統服務；基礎軟件服務；應用軟件服務；銷售計算機、軟件及輔助設備、電子產品、機械設備；建設工程項目管理；工程勘察設計；測繪服務。

　　公司規模為20人左右，此次審核主要是信息安全體系的建立、實施，特別是信息安全控制措施的落實情況。抽查網絡設備-研發交換機（IP：192.168.**.2），登錄該交換機發現其系統顯示時間與NTP服務器時間相差28小時左右，判定研發交換機未按要求與NTP同步。

　　原因是由于計算機或通信設備大多有能力運行實時時鐘，但這些時鐘可能隨時間漂移，所以應有一個核查和校準時鐘發生較大變化的規程。而正確設置計算機時鐘對于確保審計記錄的準確性非常重要，審計日志可用于調查或作為法律、紀律處理的證據，不準確的審計日志可能妨礙這種調查，并損害這種證據的可信性。所以信息處理設施保持時鐘同步對一個組織來說至關重要。

審核綜述

　　ISO/IEC27001定義了信息安全管理系統（ISMS）的要求。標準的設計確保有充分的、恰當的安全控制措施。這有助于保護信息資產，增強包括客戶在內的利害相關方的信心。標準采用過程方法來建立、實施、運行、監控和評審，以維持和提高組織的信息安全。

　　本次ISO27001審核，此次審核人員指出的問題工作中沒有關注到，但卻存在很大的安全隱患和風險認真整改。現場審核后，受審核組織對提出的不符合項均進行原因分析并制定了糾正措施，并舉一反三，排查所有信息處理設施，取得了良好的管理成效。

　　本次ISO27001活動由于事先策劃準備充分，考慮周全和受評價組織的積極配合，因此非常順利地完成了整個現場評價。