管理評審管理程序-2023年信息安全管理體系認證審核資料(內(nèi)含全套表格)_第1頁
管理評審管理程序-2023年信息安全管理體系認證審核資料(內(nèi)含全套表格)_第2頁
管理評審管理程序-2023年信息安全管理體系認證審核資料(內(nèi)含全套表格)_第3頁
管理評審管理程序-2023年信息安全管理體系認證審核資料(內(nèi)含全套表格)_第4頁
管理評審管理程序-2023年信息安全管理體系認證審核資料(內(nèi)含全套表格)_第5頁
已閱讀5頁,還剩9頁未讀 繼續(xù)免費閱讀

下載本文檔

版權(quán)說明:本文檔由用戶提供并上傳,收益歸屬內(nèi)容提供方,若內(nèi)容存在侵權(quán),請進行舉報或認領(lǐng)

文檔簡介

文件履歷變更記錄表序號制定/修訂日期修訂內(nèi)容修訂原因?qū)獥l款012023.02.27首次編制9.3管理評審目錄1目的 42范圍 43術(shù)語和定義 44職責 45程序內(nèi)容 56支持性文件 97記錄 9附表一:管理評審計劃表 10附表二:管理評審會議記錄 11附表三:糾正和預防措施記錄表 12附表四:管理評審會議簽到表 14信息安全管理體系管理評審管理程序1目的通過編制信息安全管理體系管理評審程序文件,規(guī)范管理評審流程。通過管理評審對公司信息安全管理體系(ISMS)的適宜性、充分性和有效性定期進行評價,確保體系符合標準要求,持續(xù)改進,不斷提高信息安全管理績效水平。2范圍適用于公司信息安全管理體系(ISMS)的管理評審工作。3術(shù)語和定義3.1管理體系:組織為實現(xiàn)目標而建立政策、目標和過程的一組相互管理、相互作用的要素。3.2改進:提高業(yè)績的活動。3.3評審:為實現(xiàn)已確定的目標,確定對象的充分性、適宜性和有效性。4職責4.1總經(jīng)理4.1.1批準公司信息安全管理體系(ISMS)管理評審計劃;4.1.2主持信息安全管理體系(ISMS)管理評審會議;4.1.3對信息安全管理體系(ISMS)的改進做出決策,批準信息安全管理體系(ISMS)管理評審報告及改進措施。4.2信息安全管理負責人4.2..1組織編寫公司的“信息安全管理體系(ISMS)年度運行情況綜合報告”。4.2.2組織落實管理評審中提出的改進措施。4.3體系組4.3.1組織公司各部門提供信息安全管理體系(ISMS)管理評審所需要的相關(guān)資料。4.3.2負責組織制定信息安全管理體系(ISMS)“管理評審計劃”。4.3.3編寫信息安全管理體系(ISMS)“管理評審報告”。4.3.4負責落實信息安全管理評審中提出的有關(guān)糾正措施和預防措施的實施效果驗證。4.4公司各相關(guān)部門按計劃提交管理評審資料,負責落實信息安全管理體系(ISMS)管理評審中提出的有關(guān)糾正措施和預防措施的要求。5程序內(nèi)容5.1工作程序5.1.1管理評審原則上每年進行一次,每兩次評審時間間隔不得超過12個月。5.1.2在下列情況下,總經(jīng)理批準可增加評審的頻次:(1)相關(guān)法律法規(guī)發(fā)生變化;(2)公司所處的內(nèi)外部環(huán)境發(fā)生重大變化;(3)新技術(shù)、新項目、新工藝的出現(xiàn);(4)公司組織機構(gòu)、產(chǎn)品、活動或服務的范圍、資源配置發(fā)生重大變化;(5)公司發(fā)生重大事故;(6)信息安全管理體系(ISMS)結(jié)構(gòu)發(fā)生重大變化。5.2管理評審的準備5.2.1總經(jīng)理決定評審后,信息安全管理負責人組織有關(guān)部門進行評審的準備。5.2.2管理者代表根據(jù)總經(jīng)理的評審要求,組織編制本次“信息安全管理評審計劃”,內(nèi)容包括評審目的、時間、地點、內(nèi)容、參加人員、評審依據(jù)、所需文件材料等,“管理評審計劃”由總經(jīng)理批準后實施。5.2.3管理者代表在評審前一周將“管理評審計劃”按規(guī)定范圍發(fā)給信息安全管理體系(ISMS)管理評審的部門和人員。5.2.4公司各部門按“管理評審計劃”準備相關(guān)評審材料,內(nèi)容包括:糾正和預防措施的實施情況(如各部門信息安全管理體系(ISMS)運行情況報告,需管理評審會議或領(lǐng)導解決的重大問題提綱)。5.3管理評審的輸入信息安全管理體系(ISMS)管理評審的輸入包括:a)以往管理評審要求采取措施的狀態(tài);b)與信息安全管理體系相關(guān)的內(nèi)部和外部問題的變化;c)信息安全績效有關(guān)的反饋,包括下列趨勢性信息:1)不符合和糾正措施;2)審核結(jié)果;3)信息安全目標完成情況;4)監(jiān)視和測量結(jié)果。d)相關(guān)方的反饋;e)風險評估結(jié)果及風險處置計劃的狀態(tài);f)持續(xù)改進的機會。5.4管理評審的實施5.4.1管理評審以會議形式進行,評審會議由總經(jīng)理主持,由信息安全管理負責人、各副總經(jīng)理、各部門負責人及相關(guān)人員參加會議,體系組負責會議記錄。5.4.2管理者代表向會議做“信息安全管理體系(ISMS)年度運行綜合情況報告”,包括信息安全管理體系方針、目標的落實情況、信息安全管理體系(ISMS)運行情況、信息交流溝通情況、資源配置情況以及信息安全管理體系(ISMS)中的重大問題,針對信息安全管理體系(ISMS)運行各個方面的基本情況和主要問題提出初步建議。有關(guān)領(lǐng)導和各部門負責人對本部門內(nèi)信息安全管理體系(ISMS)運行的主要問題和建議作補充匯報。5.4.3總經(jīng)理負責對所評審的重要內(nèi)容逐條進行評審,對信息安全管理方針、目標、指標和管理方案進一步落實或進行必要的修訂,對已主要問題應做出決策和決定,提出糾正和預防措施的要求,確定資源的調(diào)整和增減,確定責任部門及整改時間等。5.4.4總經(jīng)理對涉及的評審內(nèi)容和整個信息安全管理體系(ISMS)的適宜性、充分新和有效性做出評價和結(jié)論并提出改進要求。5.5管理評審輸出5.5.1信息安全管理體系(ISMS)運行控制等管理工作的改進,包括對信息安全管理方針、目標、指標、組織機構(gòu)和信息安全管理實施的過程控制等方面的改進。5.5.2提出對現(xiàn)有的信息安全管理體系(ISMS)管理工作的改進措施。5.5.3為實施改進的資源需求。5.6管理評審報告信息安全管理評審結(jié)束后,體系組根據(jù)評審記錄和有關(guān)要求編寫“管理評審報告”,報告內(nèi)容包括:5.6.1管理評審時間,主持人及與會者。5.6.2評審目的。5.6.3評審依據(jù)。5.6.4評審內(nèi)容。5.6.5評審概況與結(jié)論。5.6.6糾正措施和預防措施及體系改進要求?!肮芾碓u審報告”由信息安全管理負責人審核后報總經(jīng)理批準,由體系組分發(fā)相關(guān)部門并監(jiān)督執(zhí)行。5.7糾正和預防措施的實施和驗證5.7.1管理者代表根據(jù)評審中提出的要求組織有關(guān)部門對相應的糾正和預防措施給與落實,體系組對糾正和預防措施的實施情況及問題進行跟蹤驗證,執(zhí)行《不符合、糾正和預防措施程序》,并將驗證結(jié)果向信息安全管理負責人和總經(jīng)理交書面報告。4.7.2如管理評審結(jié)果引起文件更改,應執(zhí)行《文件控制程序》。5.8管理評審記錄由行政部保存。6支持性文件6.1《文件控制程序》6.2《記錄控制程序》6.3《不符合、糾正和預防措施程序》6.4《內(nèi)部審核控制程序》7記錄7.1管理評審計劃7.2管理評審報告7.3信息安全管理體系年度運行情況綜合報告7.4糾正與預防措施執(zhí)行情況分析報告附表一:管理評審計劃表評審目的評審范圍評審依據(jù)評審內(nèi)容評審人員主持人:參加人:評審時間評審資料準備品管部負責人意見簽字:最高管理者審批意見簽字:附表二:管理評審會議記錄主持評審部門評審時間評審目的評審范圍評審內(nèi)容結(jié)論評審中發(fā)現(xiàn)的問題及跟蹤驗證情況:評審組成員(簽名)主持人:參加人:管理評審綜述:品管部負責人:主任批準意見簽字:附表三:糾正和預防措施記錄表實際(潛在)不合格/不符合事實:記錄人:日期;年月日原因分析及糾正/預防措施:措施批準人;實施負責人;日期年月日糾正/實施記錄:實施負責人日期:年月日實施效果驗證:驗證人;日期;年月日預防措施計劃:編制:預定完成日期:

溫馨提示

  • 1. 本站所有資源如無特殊說明,都需要本地電腦安裝OFFICE2007和PDF閱讀器。圖紙軟件為CAD,CAXA,PROE,UG,SolidWorks等.壓縮文件請下載最新的WinRAR軟件解壓。
  • 2. 本站的文檔不包含任何第三方提供的附件圖紙等,如果需要附件,請聯(lián)系上傳者。文件的所有權(quán)益歸上傳用戶所有。
  • 3. 本站RAR壓縮包中若帶圖紙,網(wǎng)頁內(nèi)容里面會有圖紙預覽,若沒有圖紙預覽就沒有圖紙。
  • 4. 未經(jīng)權(quán)益所有人同意不得將文件中的內(nèi)容挪作商業(yè)或盈利用途。
  • 5. 人人文庫網(wǎng)僅提供信息存儲空間,僅對用戶上傳內(nèi)容的表現(xiàn)方式做保護處理,對用戶上傳分享的文檔內(nèi)容本身不做任何修改或編輯,并不能對任何下載內(nèi)容負責。
  • 6. 下載文件中如有侵權(quán)或不適當內(nèi)容,請與我們聯(lián)系,我們立即糾正。
  • 7. 本站不保證下載資源的準確性、安全性和完整性, 同時也不承擔用戶因使用這些下載資源對自己和他人造成任何形式的傷害或損失。

最新文檔

評論

0/150

提交評論