XX-1-COM-ISMS管理評審辦法

第3頁共9頁文檔編號XX_1_COM_信息安全管理體系管理評審辦法版本號V1.0密級內部公開信息安全管理體系管理評審辦法XXX信息技術有限公司文檔信息發(fā)布版本：最后發(fā)布時間：編寫人：審核人：文檔編寫目的本文檔的編寫是為了用于評審信息安全管理體系的持續(xù)適宜性、充分性、有效性，同時識別體系改進的機會，確定變更的需要，確保評審的有效性、準確性和完備性。文檔主要內容本文檔描述了XXX信息技術有限公司信息安全管理體系的管理評審辦法，從評審的組織責任、評審程序、評審內容，闡述了管理評審的具體實施規(guī)則和辦法，為管理評審的規(guī)范化實施提供具體指導。文檔適用范圍本文檔適用于XXX信息技術有限公司。版本控制編號修訂人修訂時間版本號修訂內容說明1234目錄TOC\o"1-1"\h\z\u第一章總則 4第二章管理評審的重要性 4第三章組織職責 5第四章管理評審程序 5第五章評審的主要內容 8第六章附則 9第一章總則為了確保XXX信息技術有限公司（以下簡稱“XXX”）信息安全管理體系（以下簡稱“ISMS”）的適宜性、充分性、有效性，同時識別改進的機會，確定變更的需要，需定期進行ISMS的管理評審。依據(jù)GB/T22080-2008/ISO/IEC27001：2005《信息技術安全技術信息安全管理體系要求》，結合XXX實際情況，特制定本文件。管理評審需堅持公開、公平、公正的原則進行，做到有據(jù)可依，評價準確。評審的結果需進行文檔記錄，并維護。第二章管理評審的重要性PDCA模式是ISMS采用的一種過程模式，這種模式把過程分為策劃(Plan)、實施(Do)、檢查(Check)、處置(Act)四個階段，通過這四個階段的持續(xù)循環(huán)，使過程效果得到不斷提升。管理評審是信息安全管理體系PDCA運行模式的一個重要環(huán)節(jié)，是體系自我改進、自我完善的過程。管理評審由風險委員會組織實施，通過討論、評審和信息交流，總結ISMS運行的成效和不足，識別改進ISMS的需要，制定相應的信息安全決策，確保體系的適宜性、充分性和有效性。第三章組織職責風險委員會在管理評審工作中主要負責：主持管理評審會議；對于評審內容做出相應決策；審批管理評審的計劃和報告。信息安全管理工作小組負責管理評審的具體工作，包括：制定ISMS管理評審計劃；編寫并提交ISMS管理評審報告；跟蹤管理評審后續(xù)工作的開展及向風險委員會匯報工作結果。各相關部門負責參與協(xié)助完成管理評審，包括：準備并提供與本部門有關的評審所需資料；配合評審人員，完成管理評審；協(xié)助落實管理評審中提出的有關糾正、預防措施。第四章管理評審程序評審時間和頻率定期進行管理評審定于每年的12月份進行管理評審，一年一次，可根據(jù)實際情況進行適當調整。發(fā)生下列情況時，需適時進行管理評審：XXX內、外部環(huán)境發(fā)生較大變化時，如組織結構、業(yè)務模式有重大調整，IT資源與架構發(fā)生重大技術革新，標準、法律、法規(guī)發(fā)生變更等；ISMS發(fā)生重大變動，例如：信息安全方針，目標進行了修改時；內部審核和外部審核發(fā)現(xiàn)重大不符合項時；風險委員會認為必要時，如發(fā)生重大信息安全事故。評審的準備編制管理評審計劃由信息安全工作小組負責編制《XXXISMS管理評審計劃》，經風險委員會批準后，在進行管理評審15日前下發(fā)至參加評審人員。管理評審計劃內容主要包括評審目的、評審依據(jù)、評審內容、評審議題、評審程序、評審參加人員、評審的時間安排、評審輸入的準備等。準備評審資料信息安全工作小組組織各相關部門按照管理評審計劃的要求準備管理評審輸入所要求的各方面評審資料，評審資料應盡可能充分、全面。主要包括以下資料：上年度管理評審報告；本年度內部審核報告；重大信息安全事件處理的結果；利益相關方的反饋，如監(jiān)管機構、董事會等的反饋；有助于改善ISMS績效的技術、產品或程序；預防和糾正措施的實施情況；風險評估的結果；可能影響ISMS的變化，例如組織結構的調整；針對ISMS運行過程中存在的問題，提出的相關改進建議。評審實施風險委員會主持會議，指定專人記錄會議紀要；信息安全工作小組對ISMS的運行情況作相關陳述或報告；參加評審人員針對評審議題做出評價，對存在或潛在的不符合項提出糾正、預防措施，確定責任和完成期限。風險委員會對涉及的評審內容做出決策。評審輸出ISMS有效性的改進措施；更新風險評估和風險處置計劃；必要時，修訂ISMS相關文件；資源需求；其他重要決議。評審報告信息安全工作小組負責整理本次管理評審記錄并編寫《XXXISMS管理評審報告》；《XXXISMS管理評審報告》經風險委員會審批后，由信息安全工作小組發(fā)文給相關部門和下屬機構。評審的后續(xù)追蹤信息安全工作小組負責牽頭落實管理評審的各項決議和改進措施，各相關部門負責配合；對于評審報告中有關決議和措施要求（包括預防/糾正措施），相關責任部門需在規(guī)定時間內予以實施，信息安全工作小組對實施的結果進行驗證，并向風險委員會匯報落實結果。第五章評審的主要內容管理評審需重點評審以下內容:外部法律法規(guī)、政策、市場環(huán)境的變化對信息安全新的要求；信息安全組織結構、管理職能、資源是否配置得當；ISMS目標及方針是否得到有效貫徹，每項活動的過程、環(huán)節(jié)是否得到有效控制；信息安全風險的總體控制水平；重