管理评审规定.pdf

ISMSISMS 管理评审规定管理评审规定 ISMS 管理评审规定 I 评审记录评审记录 评审方式评审方式版本号版本号日期日期评审意见评审意见 文档状态 正式发布文档状态 正式发布 ISMS 管理评审规定 II 目目录录 1 1 1 1概述概述 1 1 1 1 1 1目的 1 1 2范围 1 1 3定义 1 2 2 2 2职责与角色职责与角色 1 1 1 1 信息安全管理委员会 1 信息安全主管 1 各部门 1 3 3 3 3内容内容 2 2 2 2 3 1评审时机 2 3 2评审内容 2 3 3管理评审准备 2 3 4管理评审实施 3 3 5管理评审报告 3 3 6管理评审问题项改进 3 3 7管理评审记录归档 3 4 4附件附件 4 4 4 4 4 1相关作业文件 4 4 2相关程序文件 4 4 3相关表单工具 4 ISMS 管理评审规定 1 1 1 1 1 概述概述 1 11 11 11 1 目的目的 1 21 21 21 2 范围范围 1 31 31 31 3 定义定义 管理评审 指对信息安全管理体系的评审 其目的是通过对信息安全管理体系现状的 了解 结合信息安全环境和目标的变化 评估改进的必要性并制定改进措施 以确保体系持续 的适宜性 充分性和有效性 2 2 2 2 职责与角色职责与角色 表 2 1 评审管理规定的角色和职责 序号角色职责 1 信息安全管理委 员会 负责发起管理评审活动 负责确认 ISMS 管理评审报告 2信息安全主管 负责组织管理评审活动 负责 ISMS 管理评审计划 的编制和管理评审的准备 3各部门 负责参加管理评审活动 并提出意见 负责贯彻落实评审得出的决策和指令 3 3 3 3 内容内容 3 13 13 13 1 评审时机评审时机 例行管理评审每年进行一次 安排在年度例行内审之后进行 ISMS 管理评审规定 2 当监管要求 信息安全形势 组织机构 人员和资源等有重大变化 连续出现重大信息安 全事件或发生严重信息安全投诉时 应增加管理评审次数 具体评审时间由信息安全领导小组 确定 3 23 23 23 2 评审内容评审内容 管理评审主要针对以下方面内容 1 组织信息安全方针和目标的适用性 2 ISMS 外部审核结果和内部审核结果 3 信息资产风险评估结果 4 上一次管理评审结果的跟踪验证情况 5 信息安全方面的重大决策和安排 6 可能对 ISMS 造成影响的重大变更 7 可用于改进 ISMS 效果和有效性的技术 产品和流程 8 监管部门 咨询顾问公司 客户和供应商等相关方的反馈 9 信息安全纠正预防措施及实施情况 10 信息安全控制措施有效性测量结果 11 信息安全改进建议 12 其它管理评审输入 3 33 33 33 3 管理评审准备管理评审准备 信息安全主管负责筹划管理评审并编制 ISMS 管理评审计划 信息安全主管应在评审前 3 天 向参加评审的部门或人员发放 ISMS 管理评审计划 各相关部门应按评审计划内容准备有关资料 3 43 43 43 4 管理评审实施管理评审实施 信息安全管理委员会负责主持管理评审会议 各部门按评审计划内容进行汇报 由信息安 全领导小组进行审议 信息安全管理委员会根据评审情况做出相应评定结论 包括 ISMS 管理评审规定 3 1 安全方针和安全目标的适用性和调整办法 2 对 ISMS 的适宜性 充分性和有效性的总体评价 3 ISMS 的改进计划或方案 包括 1 对影响信息安全的流程和控制措施的修订 2 风险等级和风险接受准则的适用性及调整办法 3 风险评估和风险处置计划的更新办法 4 测量控制措施有效性的改进方法和建议 5 ISMS 各项活动 职责和资源的适宜性及改进办法 3 53 53 53 5 管理评审报告管理评审报告 信息安全主管负责整理管理评审记录 编写 ISMS 管理评审报告 并提交信息安全管 理委员会确认 信息安全管理委员会确认后 由信息安全主管将报告发布给信息安全管理委员会 公司相 关领导及相关部门 相关部门应采取相应措施 认真贯彻管理评审中提出的决策和指令 信息安全主管负责督 促实施 并组织对实施结果的检查 3 63 63 63 6 管理评审问题项改进管理评审问题项改进 管理评审中发现的问题 按 ISMS 纠正和预防措施管理规定 进行处理 3 73 73 73 7 管理评审记录归档管理评审记录归档 本制度所涉及的所有记录参照 文件和记录控制程序 归档保存 IS