智锐达仪器科技南通有限公司ISMS审核案例.PDFVIP

智锐达仪器科技南通有限公司ISMS 审核案例 推荐机构：北京新世纪检验认证有限公司 受审核方：智锐达仪器科技南通有限公司 审核类型：信息安全管理体系认证 审核员：戎林（组长）、段跃峰（组员）、 沈向阳（组员） 一、 案例发生背景： 1、 认证领域：信息安全管理体系。 2、 受审核组织：智锐达仪器科技南通有限公司 3、 认证范围：与食品成分检测信息化管理系统以及检测仪 器的开发和技术服务相关的信息安全管理，适用性声明： ZRD-IM-002-V1.0 版本：V1.0 4、 认证标准：GB/T22080-2008 《信息安全管理体系要求》 5、 审核场所：办公及经营地点—江苏省南通市经济技术开 发区通盛大道188 号E 座1601 室 6、 审核时间：一阶段审核时间：2014.8.3 上午；二阶段审 核时间：2014.8.4-5 二、 案例发生的主要过程： 智锐达仪器科技南通有限公司是一家致力于国内食品安全 快速检测仪器及食品安全检测信息化管理软件的研发、生产、销 售和技术服务的现代化科技型企业。公司2014 年3 月刚刚成立， 1 为了打好管理基础，同时建立了QMS 和ISMS，但公司规模较小， 信息安全管理基础比较薄弱，审核组需要通过审核过程，在企业 管理的各个方面寻找信息安全管理的薄弱环节，从而达到本次认 证审核的目的； 企业的产品核心是软硬件开发，之前已获取了多个软件产品 的著作权，知识产权实际上是本公司的核心竞争力；审核组成员 能够关注这项重要信息资产在不同部门、不同管理环节的管理情 况，按照审核计划的安排，分头进行各部门的审核，审核过程中 始终围绕公司产品设计成果的信息安全管理，从细节入手，系统 性发现企业管理中的问题，通过企业及时整改，规避了管理中的 漏洞，达到审核目的； 三、 审核过程及主要的审核发现、受审核方的整改： 企业的产品核心是软硬件开发，而产品生产并不是企业的强 项，暂时不具备生产能力，必须将产品生产过程外包，与外包生 产方签署了外包加工合同，审核员在审核外包加工合同时发现双 方未就产品知识产权及技术必威体育官网网址作出文字表述与责任确定，可能 存在公司产品核心技术的泄密，提出了该问题得到受审核方认 可；开出了第一项不符合项： 查到公司委托**斯普锐汽车部件有限公司生产检测仪整机-A 型 和检测仪整机-B 型的《整机采购合同》，公司提供设计图纸、 技术参数等产品重要数据，但该合同中没有必威体育官网网址条款和知识产权 所属关系等内容。不符合标准A.6.2.3 “在第三方协议中强调安 2 全”的要求； 受审核方非常认可该不符合项的开具，及时进行了原因分 析，认为是体系运行初期，销售部人员未能按照第三方服务管理 程序和知识产权管理程序的流程要求执行，签订合同时，未能考 虑到此项目涉及的必威体育官网网址和知识产权保护的需求，体系的运行还需 要继续深入； 纠正：与外包加工方协商必威体育官网网址需求，形成必威体育官网网址协议和知识产 权声明，界定知识产权的所属关系，作为合同附件进行补签，从 而避免了可能的知识产权纠纷的发生；提供了补签的合同和知识 产权声明书截图作为证据； 纠正措施：对公司销售人员进行相关管理程序的再培训，强 调与第三方组织业务过程中涉及组织信息应得到妥善保护； 2014.8.8 管理者代表确认了上述纠正与纠正措施实施完成； 在审核研发部设计文件管理的过程中，发现了对设计输出文 件的管理漏洞，不同的设计人员分别进行了软硬件设计，设计输 出文档均保存在设计人员的电脑中，而公司成立初期，设计人员 少，经常携带笔记本电脑外出，可能造成设计输出文件的丢失和 泄露，公司虽然配备了一台备份服务器用于存储设计文件，但由 于管理水平薄弱，相关人员未系统归档设计文件、严格执行定期 备份制度，所以在审核过程中发现某个产品型号的设计图纸和设 3 计文档分别保存在设计人员和管理者代表的笔记本电脑中，未及 时备份；开出了不符合项3： 公司正在进行开发的智能金标分析仪图纸、文件资料散存在 开发人员、管理者代表的电脑中，未上传公司文件服务器进行定 期备份；不符合A.10.5 “信息备份”的要求；