简答题

审核员对某IT服务公司进行审核时，与该公司系统集成项目负责人讨论信息安全管理，该项“我们做的是弱电系统集成，即购买计算机设备及外设、安装、联通调试、网络接入，设备可正常运行，网络连接正常，项目即结束。不涉及此后的顾客使用系统设备的过程，不接触顾客的任何业务运行是数据，所以没有信息安全风险。”该审核员表示赞同，就结束了审核。请问该审核员的做法是否正确，为什么，你会如何审核？

使用微信搜索喵呜刷题，轻松应对考试！

答案：

不正确，因为审核员仅听受审核单位系统集成项目负责人介绍该单位“不涉及此后的顾客使用系统设备过程，不接触顾客的任何业务运行数据，所以没有信息安全风险”，并没有展开深入调查取证工作，就结束了审核，所以不正确。应通过沟通访谈、观察判断受审核单位是否按照标准相关条款要求，对ISMS进行审核，查看组织提供的《适用性声明》等，开展审核工作。具体如下：（1）文件体系是否建立健全，是否有安全策略。尤其是作为服务提供商，是否与服务对象建立正式合同或签署服务协之类的文件，是否明确服务要求、范围、等级等内容，并对信息安全要求达成一致。（2）查看部门以及人员职责，并访问相关人员，看其是否写组织规定相吻合。（3）是否按照组织的体系规定开展具体工作，如何控制变更管理，事件管理等。（4）看人员能力是否满足组织信息安全绩效的要求，并通过适当的教育培训，使其能够继续胜任。（5）是否进行风险管理，制定风险评估准则、开展识别风险，风险评估等活动。作为弱电系统集成商，是否在与服务对象及相关方接口的兼容性，支持性设施、布缆安全等方面进行了风险管理。（6）是否进行绩效评价，按计划的时间间隔进行内审，是否对被服务方的满意度的反馈进行评价。（7）是否将审核结果作为输入，采取措施纠正不符合，并持续改进本单位信息安全管理体系的适宜性、充分性和有效性。

解析：

【喵呜刷题小喵解析】信息安全是IT服务中的重要一环，不仅仅局限于设备的运行和网络的连接。该IT服务公司的系统集成项目负责人声称他们的服务不涉及顾客的业务运行数据，没有信息安全风险，但这并不意味着他们没有信息安全管理的责任。作为审核员，仅仅听信项目负责人的说法是不够的，应该进行深入调查，确保公司确实按照信息安全管理的标准进行操作。审核员应该通过沟通访谈、观察判断受审核单位是否按照标准相关条款要求，对ISMS进行审核。具体审核内容包括：1. 文件体系是否建立健全，是否有安全策略。尤其是作为服务提供商，是否与服务对象建立正式合同或签署服务协议之类的文件，是否明确服务要求、范围、等级等内容，并对信息安全要求达成一致。2. 查看部门以及人员职责，并访问相关人员，看其是否写组织规定相吻合。3. 是否按照组织的体系规定开展具体工作，如何控制变更管理，事件管理等。4. 看人员能力是否满足组织信息安全绩效的要求，并通过适当的教育培训，使其能够继续胜任。5. 是否进行风险管理，制定风险评估准则、开展识别风险，风险评估等活动。作为弱电系统集成商，是否在与服务对象及相关方接口的兼容性，支持性设施、布缆安全等方面进行了风险管理。6. 是否进行绩效评价，按计划的时间间隔进行内审，是否对被服务方的满意度的反馈进行评价。7. 是否将审核结果作为输入，采取措施纠正不符合，并持续改进本单位信息安全管理体系的适宜性、充分性和有效性。只有通过这样的审核，才能确保IT服务公司的信息安全管理体系符合相关标准，为顾客提供安全、稳定的服务。

创作类型：

原创

本文链接：审核员对某IT服务公司进行审核时，与该公司系统集成项目负责人讨论信息安全管理，该项“我们做的是弱电系

让学习像火箭一样快速，微信扫码，获取考试解析、体验刷题服务，开启你的学习加速器！