管理评审控制制度

1、XXX信息平安管理评审控制制度文件编号:目 录 TOC o 1-5 h z HYPERLINK l bookmark4 o Current Document .目的和范围2 HYPERLINK l bookmark6 o Current Document .引用文件2 HYPERLINK l bookmark8 o Current Document .职责和权限2.活动描述2 HYPERLINK l bookmark10 o Current Document 管理评审周期2 HYPERLINK l bookmark12 o Current Document 管理评审内容3 HYPERLINK

2、l bookmark14 o Current Document 管理评审计划3 HYPERLINK l bookmark16 o Current Document 评审实施4 HYPERLINK l bookmark18 o Current Document .持续改进4.相关记录5.目的和范围为了确保现行信息平安管理体系的适宜性、充分性和有效性；现行信息平安管理体系持续有效地满足标 准的要求；公司的信息平安方针和目标适应自身开展的需要，对信息平安管理体系进行评审，特制定本制 度。本制度适用于信息平安管理体系管理评审过程。.引用文件1）以下文件中的条款通过本规定的引用而成为本规定的条款。但凡注

3、日期的引用文件，其随后所有 的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用 这些文件的最新版本。但凡不注日期的引用文件，其最新版本适用于本标准。GB/T 22080-2016/IS0/IEC 27001:2013 信息技术-平安技术-信息平安管理体系要求GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-平安技术-信息平安管理实施细那么4）纠正和预防措施控制制度5）文件控制制度.职责和权限1）信息平安管理领导小组：负责对信息平安管理体系进行管理评审，对体系的变更和修改进行决策。2）体系负责人：负责组织召开管理评审会议，并向信息平

4、安管理领导小组汇报信息平安管理体系的 运行情况。3）信息平安工作小组：负责管理评审材料的收集，并根据管理评审的决定，组织进行跟踪、验证实施 效果。4）行政部：负责管理评审相关材料的备案。5）各部门：负责本部门提供评审材料。4.活动描述管理评审周期公司按年度召开信息平安管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对前 一年信息平安情况做出评审，评审结果作为下一年信息平安计划的输入。当发生以下情况时，信息平安管理 领导小组可以临时决定增加管理评审。1）组织结构、资源配置发生重大变化；2）业务目标或业务运作流程发生重大变化；3）信息平安法律、法规发生重大变化；4）发生重大信息平安

5、事件；5）风险等级的划分和风险可接受水平发生变化；6）其他不可预见情况需要时。管理评审内容信息平安工作小组根据评审内容进行内容收集工作，准备好评审必需的文件、资料等信息，并报体系负 责人。各部门根据体系运行的情况形成部门管理评审输入报告做为评审会议的输入。年度报告及管理评审内容应包括：1）信息平安管理体系相关文件变化；2）方针、目标完成情况及有效性测量结果；3）风险评估报告；4）内部和外部信息平安管理体系审核结果；5）纠正措施、预防措施实施报告；6）顾客等相关方反应；7）实际运行的符合性；8）事故统计及分析报告；9）以往管理评审决定实施情况；10）可能影响信息平安管理体系的内外部环境的变化；1

6、1）改进的建议。管理评审计划信息平安体系负责人负责在管理评审实施前编制管理评审计划，并得到信息平安管理领导小组的批 准。管理评审计划主要内容包括:1）评审范围、内容及时间安排；2）参加评审的单位和人员；3）评审会议议程。评审实施信息平安管理体系负责人负责主持管理评审活动。1）评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：2）内审的充分性、有效性，内部审核关于信息平安管理体系的符合性、有效性的结论；a）信息平安管理体系文件的充分性和适宜性；b）事故事件情况；c）对重大危害因素和重要环境因素的控制情况；d）目标、指标和管理方案的实现情况；e）信息平安方针的适

7、宜性；f）整个信息平安管理体系的符合性、有效性和适宜性；g）持续改进的意见。信息平安管理领导小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。3）管理评审的输出应包括为实现持续改进的承诺而做出的，与信息平安方针、目标、指标以及其他 信息平安管理体系要素的修改有关的决策和行动。如：h）信息平安管理体系有效性的改进；i）与顾客要求有关的服务的改进；j） 资源需求等。.持续改进1）评审结束后，根据评审结论和决定，信息平安工作小组负责向有关单位下达“不符合纠正预防通知 单”（参见纠正和预防措施控制制度），并对改进、纠正、纠正措施和预防措施的实施效果进行 跟踪验证。各相关单位制定并实施相应的改进措施，及时完善信息平安管理体系，实现持续改进， 不断提高信息平安管理水平。2）不符合、纠正措施的实施按纠正和预防措施控制制度执行。3）管理评审产生的相关记录和资料由信息平安工作小组负责收集、汇总和保存，具体按记录控制制度执行。.相关记录序号报告/记录名称保管场所期限保存形式备注1管理评审计划总裁办3年电子/纸质2各部门管理评审输入报告总裁办3年电子/纸质3会议签到表总裁办3年电子/纸质4管理评审报告总裁办3年电子/纸质本制度相关修改及解释权属于信息平安组织文