ISMS-B-07信息安全体系运行评审程序

参考模版,仅供参考

1 目的

为确保组织信息安全管理体系持续的适宜性、充分性和有效性,评估组织信息安全管理体系改进和变更的需要,特制定本程序。

2 范围

本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。

3 职责

3.1 CTO/技术部老大

主持信息安全管理体系管理评审。

3.2 行政部

负责信息安全管理体系管理评审的归口管理。

4 相关文件

《信息安全管理手册》

《文件控制程序》

《记录控制程序》

5 程序

5.1 管理评审策划

  • 管理评审的频次

1 定期

管理评审由CTO/技术部老大主持,通常每年进行一次,一般在内部审核后一至两个月内进行。

2 非定期

当遇到下列情况时,可不受.1的限制,由行政部制定计划,信息安全管理小组审核,报CTO/技术部老大批准后实施:

  1. 当出现重大信息安全事件时;

  2. 当信息安全管理体系发生较大变化时;

  3. 当客户要求或外部环境条件发生重大变化时;

  4. 内部审核、客户审核或ISO/IEC27001外部审核时,发现了对全组织有影响,属信息安全管理体系上的重大不符合事项时。

  • 管理评审的方式

管理评审以专题会议的方式进行,由CTO/技术部老大主持管理评审,评审会议由CTO/技术部老大、行政部、行政部全员、相关部门负责人参加,必要时可吸收对应专业管理人员参加。

  • 管理评审的准备

1 计划编制

行政部根据行政部的要求组织编制《管理评审计划》,报信息安全管理小组审核,CTO/技术部老大批准后,提前一周下发至各相关部门。

2 相关准备

相关部门按《管理评审计划》要求,对照信息安全管理体系运行情况进行自评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评审会议召开前3天提供给行政部。

3 资料汇总

行政部将各相关部门提供的材料汇总、分析后编写《信息安全管理体系运行情况报告》于管理评审前1天交信息安全小组审核。

4 议程

管理评审会议召开前1天,行政部应安排好会议的议程,通过CTO/技术部老大批准后填写《管理评审通知单》,并发放至评审计划要求参加的各相关部门(人员)。

5.2 管理评审输入

资料

各相关部门接到《管理评审计划》后应向行政部提供如下材料和信息:

  1. 信息安全管理体系运行的改进建议;

  2. 本部门相关的外部反馈意见;

  3. 本部门改进信息安全管理体系绩效的技术、产品和程序;

  4. 预防和纠正措施的实施情况;

  5. 本部门相关的有效性测量、考核情况及建议;

  6. 风险评估未考虑的威胁和薄弱点;

  7. 提供的资源满足需要的情况;

  8. 与本部门相关的其它情况;

  9. 信息安全管理体系变更和改进的建议。

报告要求

行政部编写的《信息安全管理体系运行情况报告》作为管理评审的输入,应包含以下内容:

  1. 信息安全管理体系方针、目标、指标的完成情况;

  2. 内、外部审核结果和合规性评价的结果;

  3. 客户反馈(客户满意度测量结果、客户投诉、客户抱怨、投诉和抱怨的处理结果);

  4. 改进信息安全管理体系绩效的技术、产品和程序;

  5. 预防措施与纠正措施实施状况;

  6. 风险评估未考虑的威胁和薄弱点;

  7. 有效性测量、考核情况及建议;

  8. 上次管理评审跟踪措施的实施情况;

  9. 可能影响信息安全管理体系的变更的情况(如:内部员工的变化,法律、法规的变化,组织机构或产品、活动的变化,外部环境的变化等);

  10. 信息安全管理体系变更和改进的建议。

5.3 管理评审会议

会议签到

行政部组织召开管理评审会议,与会人员在《管理评审会议签到表》上签到。

报告

CTO/技术部老大主持召开管理评审会议,行政部提交《信息安全管理体系运行情况报告》,作信息安全管理体系运行情况的专题报告。

讨论

全体与会人员根据行政部的专题报告,讨论并评审信息安全管理体系的适宜性、充分性和有效性。

总结

CTO/技术部老大对管理评审作结论性评价,提出要求和决策。

会议记录

行政部负责管理评审现场记录,形成《管理评审会议记录》。

5.4 管理评审输出

报告内容

行政部根据《管理评审会议记录》编写《管理评审报告》。《管理评审报告》包括以下内容:

  1. 管理评审的目的、时间、参加人员及评审内容;

  2. 信息安全管理体系的适用性、充分性、有效性的综合评价和需要改进的地方;

  3. 方针、目标、指标适宜性的评价及需要的更改;

  4. 风险评估和风险处理计划的更新要求;

  5. 修订程序和控制措施的需求;

  6. 管理评审确定的改进决定和措施、责任部门和完成日期。

批准

《管理评审报告》经行政部审核后交CTO/技术部老大批准。

发放及归档

行政部将经过CTO/技术部老大批准的《管理评审报告》以文件形式下发各部门并存档。

5.5 改进和验证

改进

根据《管理评审报告》提出的要求,行政部组织各相关部门制定改进措施计划,并对实施情况进行协调、监督、检查。

文件控制

《管理评审报告》要求进行文件修改的,由行政部按《文件控制程序》执行。

验证

行政部组织相关职能部门对确定的纠正与预防改进措施的实施情况进行跟踪检查,并做好记录。

记录归档

管理评审资料、文件和记录按《记录控制程序》的要求归档和保管。

6 记录

《管理评审计划》

《信息安全管理体系运行情况报告》

《管理评审通知单》

《管理评审会议签到表》

《管理评审会议记录》

《管理评审报告》

⭐您的支持将鼓励我继续创作⭐