智慧城市事业部审核要点 附智慧城市事业部内审检查表.docxVIP

审核员 蒲金培 受审部门 智慧城市部 审核F1期 审核标准 审核要点 审核判定 4.4ISMS 组织应按照本标准的要求，建立、实施、保持和持续改进信息安全管理体系。 符合 7.1资源 组织应确定并提供信息安全管理体系的建立，实施，维护和持续改进所需的资源。 符合 7.2能力 组织应： a） 确定员工在ISMS管控下工作的必备能力，这会影响到组织的信息安全绩效： b） 确保这些人在适当的教育，培训或取得经验后是能胜任的； c） 在适当情况下，釆取行动以获得必要的能力，并评估所釆取行动的有效性； d） 保留适当的文档化信息作为证据。 符合 7.3意识 作为组织工作的人员应了解 a） 信息安全方针 b） 他们对信息安全管理体系有效性的贡献，包括提高信息安全績效的收益； c） 不符合信息安全管理体系所带来的影响。 符合 7 5 7.4沟通 组织应确定信息安全管理体系中内部和外部相关的沟通需求： a） 沟通什么 b） 何时沟通 c） 和谁沟通 d） 谁应该沟通 e） 怎样的沟通过程是有效的。 符合 7.5文档 化信息 7.5.1总则 组织的信息安全管理体系应该包括： a） 本国际标准所需的文档化信息： b） 记录信息系统安全管理体系有效性必要的文档化信息。 符合 7.5.2创建 和更新 当创建和更新文档化信息时，组织应确保适当的： a） 识别和描述 b） 格式 c） 适当和足够的审查和标准 符合  7.5.3文档 化信息的控 制 信息安全管理体系与本国际标准要求的文档化信息应被管理，以确保： a） 当文档化信息被需要时是可用且适用的； b） 得到充分的保护（例如保密性丧失，使用不当，完整性丧失）° 对文档化信息的控制，组织应制定一下活动（如适用）： c） 分配，访问，检索和使用 d） 存储和保存，包括易读性的保存 e） 变更管理（例如版本控制） f） 保留和处置 组织信息安全管理体系的规划和运作必要的外来文档化信息，应被适当识别和管理 符合 9.2内部审核 组织应在计划的时间间隔进行内部审核，以提供信息确定信息安全管理体系是否： a） 符合 组织自身信息安全管理体系的要求 本标准的要求 b） 得到有效的实施和保持 组织应 c） 规划、建立、实施和保持审核方案，包括频次、方法、职责、计划要求和报告。评审方案应考虑关注 过程的重要性以及以往审核的结果； d） 为每次审核定义审核准则和审核范围； e） 审核员的选择和审核的实施应确保审核过程的客观性和公正性： f） 确保审核结果报告给相关的管理者； g） 保留文件记录信息作为审核方案和审核结果的证据。 符合 A.5信息安全策略 符合 A. 5.1信息 A.5.1.1信息安全策略 信息安全管理实施的需要。 符合 安全管理 方向 A.5.1.2信息安全策略的 评审 确保方针持续的适宜性、充分性和有效性。 符合 A.6信息安全组织 符合  A.6.1内部 组织 A.6.1.1信息安全的角色 和职责 确定评审安全方针及处理重大安全事故，确定与安全有关重大事项所必须的沟通机制。 符合 A.6.1.2职责分离 网络管理与操作职责应予以分配，以防止非授权的更改及误用信息或服务。 符合 A.6.1.3与政府部门的联 系 与法律实施部门、标准机构等组织保持适当的联系是必须的，以获得必要的安全管理、标准、法律法规 方面的信息。 符合 A.6.1.4与特定利益集团 的联系 为及时掌握有关的安全信息，获得来自外部的专家的建议，及时对可能存在的薄弱点进行预防，掌握新 技术发展的动态，应与专业的小组保持联系。 符合 A.6.1.5项目管理中的信 息安全 掌控项日管理中的信息安全，及时对可能存在的薄弱点进行预防。 符合 A.6.2移动 设备和远 程办公 A.6.2.1移动设备策略 本公司拥有笔记本电脑等移动式计算或通信设施，应予以控制防止其失窃及非授权的访问＜ 符合 A.6.2.2远程办公 公司存在远程工作的情况。 符合 A.7人力资源安全 符合 A.7.1任用 之前 A.7.1.1 审査 通过人员考察，防止人员带来的信息安全风险。 符合 A.7.1.2任用的条款及条 件 履行信息安全保密协议是雇佣人员的一个基本条件。签订保密协议是很好的控制手段。 符合 A.7.2任用 中 A.7.2.1管理职责 管理者应该要求员工、合作方以及第三方用户依据组织建立的方针和程序来应用安全 符合 A.7.2.2信息安全意识， 教育和培训 安全意识及必要的信息系统操作技能培训是信息安全管理工作的前提。 符合 A.7.2.3纪律处理过程 建立惩戒过程对信息安全控制是必要的。 符合 A.7.3任用 终止或变 化 A.7.3.1任用终止或变化 的责任 执行工作终止或工作变化的职责应清晰的定义和分配。 符合 A.8资产管甚 符合 A.8.1对资