信息技术服务管理体系管理评审规定

1、信息技术服务管理体系管理评审规定文件编号： SA-02005本文件中出现的任何文字叙述、文档格式、插图、照片、方法、过程等内容，除另有特别注明， 版权均属公司所有， 受到有关产权和版权法保护。 任何个人、机构未经公司的书 面授权许可，不得以任何方式复制或引用本文件的任何片断。 1.分发控制、土 -hz. 读者文档权限说明公司内部员工只读2.文件版本信息版本号修订变更描述日期审核批准V1.0编写组全文20100726芮芳华刘文中3.文件版本信息说明文件版本信息，记录本文件提交时当前有效的版本控制信息， 当前版本文件 有效期将在新版本文档生效时自动结束。 文件版本小于1.0时，表示该版本文件 为草

2、案，仅可作为参照资料之目的。目录1 总则 12 职责与权限 1.3 规定 23.1评审频次 23.2 评审内容 23.3 评审输入 23.4 评审实施 33.5 评审输出 33.6 后续跟踪 44 附则 41 总则1.1 目的本规定旨在对公司信息技术服务管理体系的适用性、 全面性、充分性和有效 性进行评审， 使公司信息技术服务管理体系不断地完善并持续有效运行， 满足公 司信息技术服务策略要求，实现公司信息技术服务管理目标。1.2 范围本规定适用于对公司的信息技术服务管理体系的适用性、 全面性、 充分性和 有效性进行审核和评价。1.3 定义与缩写本文件采用£020000:2005的定义

3、和缩写，本文件中需补充说明的定义和缩 写为：管理评审：最高管理者应按策划的时间间隔评审信息技术服务， 以确保其持 续的适宜性、 充分性和有效性。 评审应包括评价信息技术服务管理体系改进的机 会和变更的需要，包括信息技术服务方针和目标。详见信息技术服务管理体系术语定义 。2 职责与权限2.1 总经理：负责主持管理评审活动， 对信息技术服务管理体系运行整体情况进行管理评 审，并作出相应的管理评审决策。2.2 管理者代表 审核管理评审报告。负责评审后的跟踪检查和协调落实改进措施中的问 题。2.3 办公室： 负责本规定的组织制定、解释和修改； 负责组织管理评审会议； 负责组织相关部门完成管理评审输入材

4、料的收集整理准备工作； 负责体系运行有效性测量结果的审核。2.4 各部门负责人按照本规定要求， 负责审核本部门需要提交管理评审的各项输入材料， 包括 体系运行状况报告、相关方反馈等；参加管理评审会议； 负责组织对管理评审决议的执行。3 规定3.1 评审频次3.1.1 公司信息技术服务管理体系管理评审会议每年召开一次。3.1.2 体系运行关键活动（体系度量和内部审核等）应安排在管理评审会议之前 完成，活动记录应提交管理评审会议。3.1.3 如遇信息技术服务内容重大变更、 重大信息安全问题、 公司组织架构变更、 公司业务发生重大调整、 信息技术的重大变革、 信息资产的威胁源发生显著变化 等情况，也

5、应酌情安排进行管理评审。3.2 评审内容3.2.1 体系建立前或上一次体系文件修订前的整体情况；3.2.2 体系的运行效果、体系文件修订后的变化；3.2.3 信息技术服务方针策略、目标是否适应外部环境和内部环境的变化、实现 情况如何、是否需要调整和修订；3.2.4 信息技术服务管理体系文件是否满足实际需要、是否需要修订；3.2.5 信息技术服务管理的组织结构、资源（人员、技术、设备等）是否满足信 息技术服务和安全管理体系有效运行的需要，是否需要调整和增加资源投入；3.2.6 体系运行过程中的各项活动是否受控，是否需要改进；3.3 评审输入信息技术服务管理体系管理评审的输入包括但不限于以下内容：

6、a. 上一次管理评审会议的结果；b. 相关方（内部用户、干系方、外部用户、外部服务供应商等）的反馈；c. 体系实施过程中文件的修订情况；d. 用于改进公司信息技术服务管理体系绩效和有效性的方法、产品或者流程制度；e. 纠正和预防措施的实施情况；f. 体系运行有效性的测量指标结果；g. 上次管理评审会议之后对相关问题所采取控制措施的跟踪验证情况；h. 任何可能影响信息技术管理体系的变化，可能包括：1) 业务要求；2) 影响现有业务要求的业务过程；3) 法律法规要求；4) 合同责任；5) 资源需求；6) 改进测量控制措施有效性的方法。3.4 评审实施3.4.1 办公室根据本制度规定要求，负责筹划和

7、组织管理评审会议并编制管理评 审计划， 在评审前向参加评审的部门或人员下发会议通知和会议议程， 做好相关 准备工作。3.4.2 管理者代表协同总经理按管理评审计划中所列内容逐项审议。3.4.3 各部门按会议议程进行汇报和提交有关资料。3.4.4 总经理根据评审情况做出相应评定结论，包括：a. 对影响信息技术服务管理体系方针、目标和信息技术服务管理体系管理 体系适宜性和有效性的问题，提出明确的改进要求；b. 对所有活动所需资源予以确认与保证。3.4.5 办公室负责记录评审过程的会议纪要并归档。3.5 评审输出管理评审的输出应包括但不限于以下决定和措施：a. 信息技术服务管理体系有效性的改进；b. 必要时，修订影响信息技术服务的管理规定和控制措施，以反映可能影 响信息技术服务管理体系的内外事件。3.6 后续跟踪3.6.1 管理评审会议决议中涉和到的需要采取改进或纠正预防措施的部门，依据 纠正预防控制管理规定 ，由各部门主要负责人组织和制定整改计划，确定整 改和预防措施，明确整改期限。整改工作纳入部门的日常工作内容。3.6.2 管理者代表负责依据 纠正预防控制管理规定 组织对实施效果进行验