参考模版,仅供参考
1 目的
为确保组织信息安全管理体系持续的适宜性、充分性和有效性,评估组织信息安全管理体系改进和变更的需要,及时更新信息安全管理体系制度、流程和文件,特制定本制度。
2 范围
本制度适用于对信息安全管理体系本身的适用性进行评估和改进的管理。
3 职责
1. 信息及智能化副总裁
对信息安全管理体系及其优化改进措施进行批准。
- 信息部总监
负责对信息安全管理体系及其优化改进措施进行审核;
负责主持信息安全管理体系评审工作。
- 信息安全部
负责收集整理各部门提出的信息安全管理体系优化需求和改进建议;
负责组织各部门,对信息安全管理系统进行修订和完善。
- 其他各部门
负责按照实际工作需要,对现有的信息安全管理体系的完备性、适用性、可执行性等进行评价,向信息安全部、信息部总监提出改进意见;
参与信息安全部组织的信息安全管理体系修订和完善。
4 相关文件
《信息安全管理手册》
《文件控制制度》
5 内容
1. 信息安全管理体系评审计划
1. 管理评审的频次
- **定期**
信息安全管理体系评审(以下简称“管理评审”)由信息部总监主持,每年至少进行一次,一般在内部审核后一至两个月内进行。
- 非定期
当遇到下列情况时,由信息安全部负责人制定计划,信息部总监审核,报信息及智能化副总裁批准后实施:
当出现重大信息安全事件时;
当客户要求或外部环境条件发生重大变化时;
内部审核、客户审核或ISO/IEC27001外部审核时,发现了对全组织有影响,属信息安全管理体系上的重大不符合事项时。
- 管理评审的方式
管理评审以专题会议的方式进行,由信息部总监主持管理评审,评审会议由信息安全部负责人、信息安全部全体成员、各部门负责人及其指定的相关人员参加,必要时可邀请其他相关人员、外部咨询顾问人员参加。
管理评审的准备
- 计划编制
信息安全部负责人根据制度要求组织编制《管理评审计划》,报信息部总监审核,信息及智能化副总裁批准后,提前下发至各相关部门。
- 相关准备
相关部门按《管理评审计划》要求,对照信息安全管理体系运行情况进行自评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评审会议召开前提供给信息安全部。
- 资料汇总
信息安全部负责人组织将各相关部门提供的材料汇总、分析后编写《管理评审报告》于管理评审前交信息部总监审核。
管理评审输入
- 各部门体系运行现状与提出的改进建议
各相关部门接到《管理评审计划》后应向信息安全部负责人提供:
本部门信息安全管理体系运行情况;
本部门提出的信息安全管理体系运行的改进建议及原因;
- 信息安全体系运行报告
信息安全部负责人需要根据各部门体系运行现状与提出的改进建议,结合日常检查的情况,编写《管理评审报告》作为管理评审的内容:
信息安全管理体系方针、目标、指标的完成情况;
内、外部审核结果和合规性评价的结果;
技术支持人员、客户实施人员的反馈;
风险预防措施与纠正措施实施状况;
不符合与纠正措施实施状况;
上次管理评审跟踪措施的实施情况;
可能影响信息安全管理体系的变更的情况(如:内部员工的变化,法律、法规的变化,组织机构或产品、活动的变化,外部环境的变化等);
信息安全管理体系变更和改进的建议。
- 管理评审会议
信息及智能化副总裁主持召开管理评审会议,信息安全部负责人提交《管理评审报告》,作为信息安全管理体系运行情况的专题报告。
全体与会人员根据信息安全部负责人的专题报告,讨论并评审信息安全管理体系的适宜性、充分性和有效性。
信息及智能化副总裁对管理评审作结论性评价,提出要求和决策。
信息安全部负责人负责管理评审现场记录,形成《管理评审会议记录》。
管理评审输出
- 报告内容
信息安全部负责人根据《管理评审会议记录》编写《管理评审报告》。《管理评审报告》包括以下内容:
管理评审的目的、时间、参加人员及评审内容;
信息安全管理体系的适用性、充分性、有效性的综合评价和需要改进的地方;
方针、目标、指标适宜性的评价及需要的更改;
修订制度和控制措施的需求;
管理评审确定的改进决定和措施、责任部门和完成日期。
- 批准
《管理评审报告》经信息部总监审核后交信息及智能化副总裁批准。
发放及归档
信息安全部负责人将经过信息及智能化副总裁批准的《管理评审报告》以文件形式下发各部门并存档。
改进和验证
- 改进
根据《管理评审报告》提出的要求,信息安全部负责人组织各相关部门制定改进措施计划,并对实施情况进行协调、监督、检查。
文件控制
《管理评审报告》要求进行文件修改的,由信息安全部负责人按《文件控制制度》执行。
验证
信息安全部负责人组织相关职能部门对确定的纠正与预防改进措施的实施情况进行跟踪检查,并做好记录。
5 记录
《管理评审计划》
《管理评审报告》
《管理评审会议签到表》
