c） 从客户 ISMS 范围内的所有场所中选择具有代表性的样本，该选择应基于一个可体现上述 b)中所列因素的判定，同时也考虑随机因素； d）在授予认证之前，认证机构审核了 ISMS 中每个具有重大风险的场所； e） 根据上述要求设计审核方案，且审核方案要在三年内覆盖 ISMS 认证范围内的代表性样本； f） 在单个场所发现不符合时，纠正措施程序的实施适用于证书所覆盖的所有场所。 审核应关注客户为确保单一的 和规程，并采取了适当的纠 正措施。 14 GB/T 25067－202X/ISO/IEC 27006-1:2024 特别是，监督报告应包括有关消除以往发现的不符合、适用性声明的版本和上次审核后发生的 重大变更的信息。监督审核报告应至少覆盖 9.6.2.2 和 9.6.2.3 的全部要求。 9.6.3 再认证 9.6.3.1 总则 GB/T 27021.1—2017 中 9.6.3 的要求适用。并且，9 ——使用标准化的、具有 复杂配置/参数化的平 台； ——（高度）定制软件； ——若干开发活动（内部 的或外包的）。 ——大量的内部软件开发活 动 ， 有 若 干 正 在 实 施 的、针对重大业务目的 的项目。 g）场所数量和灾难恢 复场所数量 ——较低的可用性要求，且 没有或有一个可选的灾 难恢复场所。 ——中等或高的可用性要 求，且没有或有一个 可 选 的 灾 难 恢

28450—XXXX/ISO/IEC 27007:2020 5.4.4.1 GB/T 19011—2021 的 5.4.4 中的指南适用。 5.4.4.2 对于所有可影响受审核方以及与审核方案目标相关的重大风险，ISMS 审核员宜被分配足够 的时间来评审应对信息安全风险以及与 ISMS 相关风险和机会的行动的有效性。 5.5 实施审核方案 5.5.1 总则 GB/T 19011—2021 的 5 织宜能够向审核员解释它们是什么。至少，它们宜包括组织的风险接受准则和风险评 估实施准则。 注 7：GB/T 22080—XXXX 的 8.2 要求组织在计划的时间间隔内、重大变更提出或发生 时进行信息安全风险评估。可以对所有 ISMS 或部分 ISMS 进行风险评估（例如当重大 变更对 ISMS 的部分产生影响时，就要求对该部分进行新的风险评估）。 结果的一致性、有效性和可比较性[GB/T 22080—XXXX 的 6 来源或原因可能不明显； c）检查特定后果的连锁效应，包括级联效应和累积效应； d）考虑各种后果，即使风险来源或产生原因不明显； e）考虑可能的原因和情景，以显示可能发生的后果； f）考虑所有重大原因和后果； g）如何建立全面的风险列表。 注 9：发现无意中遗漏了大量必要的控制可能表明风险识别过程较弱。 宜通过抽样确认 ISMS 范围内的所有重要信息都包含在风险评估中。 审核员宜验证在风险评估结果的文件化信息中已识别出

2.1 应对项目部管理人员、劳务人员进行信息化管理。 7.3.2.2 实名制管理基本信息包含姓名、性别、年龄、身份证号、民族、出生日期、 籍贯、家庭住址、用工合同、保险信息、人员证书、健康状况、重大疾病史、奖惩 记录等内容。 7.3.2.3 项目部管理人员的基本信息还应包括所属部门、职务、职责等。 7.3.2.4 劳务人员的基本信息还应包括所属单位、工种、进出场日期、安全技术交底 与教育培训情况等。 理等功能。 7.8.6.3 应具备属地联动应急管理功能，提供属地联动信息、调度控制信息查询功能。 7.9 视频监控 7.9.1 视频监控应覆盖工地重点区域，包括但不限于“两区三厂”、重大施工作业区、 重大机械设备、危大工程、重要交叉口、工地主要出入口、主干道路、主要危险区 34 建设功能 域、堆料库区等。 7.9.2 视频监控系统应具备实时显示、视频存储、视频回放、智能识别、自动预警等 据、路面碾压及摊 铺数据、质量巡检数据、质量隐患及处理情况数据、质量事故数据等。 B.1.10 安全数据 安全数据包括安全生产管理制度（含应急预案）、安全生产管理组织机构 数据、危险源数据（重大风险、危险性较大的分部分项工程）、施工单位主要 负责人及安全生产管理人员考核持证情况、施工安全交底数据、安全培训记录、 安全隐患排查记录数据、安全隐患处置记录数据、安全事故数据、视频监控数 据

非实时数据交互周期宜为不定期更新。 7.3.2 线网 ISP 应通过 DSP 与 ETC 系统建立联动功能，互联实时 数据交互周期不宜大于 0.5s，非实时数据交互周期宜为不定期更 新。 7.3.3 线网 ISP 应能推送重大公共安全相关告警信息、数据统计信 息至 ETC 系统。 7.3.4 ETC 系统应能通过线网 ISP 联动控制安防子系统辅助事件 处置。 7.4 与内部管理、外部服务及外部单位系统互联 ETC 系统应通过 DSP 与 PSP 互联，联动客服终端，实现 对乘客运营信息及应急引导信息发布等功能。 10.3.7 ETC 系统应通过 DSP 与线网 ISP 互联，通过线网 ISP 系统 接收重大公共安全相关告警信息、数据统计信息，联动控制安防子 系统辅助事件处置。 10.4 与内部管理、外部服务及外部单位系统互联 10.4.1 ETC系统宜通过DSP与轨道交通企业办公自动化信息系统 防范通信协议与接口》GB/T 38311 第 5.5 节联网方式二执行。 7.4 与内部管理、外部服务及外部单位系统互联 7.4.2 公共安全相关数据信息一般包括：重点违禁品信息、重大安 全事件、重大客伤事件等。 61 8 信息编播中心系统 8.1 一般规定 8.1.2 考虑运营服务信息编辑发布由单线向路网集中运营的转变， 在线网进行集中编播可实现全路网“版式统一、运营协调指挥、集

船流量数据、碰撞事件统计数据等； 5) 航道业务数据，包括航道养护数据、航标维护数据、水位数据、应急抢通数据、过闸 数据、等级航道图数据、航路规划数据等； 6) 港口业务数据，包括监督检查数据、监管数据、重大危险源数据、应急管理数据等； 7) 城市公交业务数据，包括公交调度数据、公交路单数据、线路信息数据、车辆到离站 数据、乘客交易数据、公交卫星定位数据等； 8) 轨道交通业务数据，包括轨道交通

基于信息系统实现质量报表、质量结果等质量管理活动的规范化运行、可管可控和集成优 化,实现质量管理效率提升、质量管理成本降低等; 8) 基于信息系统实现重点耗能单位/重大污染源监控、预警等能源管理和环保管理活动的规 范化运行、可管可控和集成优化,实现节能减排; 9) 基于信息系统实现重大危险源监控、预警等安全生产活动的规范化运行、可管可控和集成 优化,实现安全生产水平提升等; 10) 基于信息系统实现项目计划、关键节点 智能自主型动态协同和 柔性化(多样化)运行,持续实现质量管理效率提升、质量管理成本降低等; 8) 实现重点耗能单位/重大污染源的数字化动态监控和预警等能源管理、环保管理活动的数 据驱动、知识赋能或智能自主型动态协同和柔性化(多样化)运行,持续实现节能减排; 9) 实现重大危险源监控、预警等安全生产活动的数据驱动、知识赋能或智能自主型动态协同 和柔性化(多样化)运行动态协同和柔性化(多样化)运行

3.2. 产业发展情况..............................................................................8 4. 安全风险与重大问题分析................................................................ 10 4.1. 安全问题及风险分析............ 处置和持 续改进。 同时，各地在运营边界、路侧设施能力、远程接管要求和数据 治理安排上仍存在差异，客观上也提出了统一技术要求、统一测试 方法和统一证据链要求的标准化需求。 4. 安全风险与重大问题分析 4.1. 安全问题及风险分析 如图 4-1 所示，智能驾驶由车端感知硬件、计算平台、车内通 信、无线通信、云平台、算法模型与数据服务等多类对象构成，具 有跨域融合复杂、链路耦合深、运行环境开放的特征。开展安全分