管理评审控制程序（ISO27001-2013）

管理评审控制程序TOC\o"1-3"\h\z1. 目的和范围 22. 引用文件 23. 职责和权限 24. 活动描述 34.1.管理评审周期 34.2.管理评审内容 34.3.管理评审计划 44.4.评审实施 55. 持续改进 66. 相关记录 6

目的和范围为了确保现行信息安全管理体系的适宜性、充分性和有效性；现行信息安全管理体系持续有效地满足标准的要求；公司的信息安全方针和目标适应自身发展的需要，对信息安全管理体系进行评审，特制定本制度。本制度适用于信息安全管理体系管理评审过程。引用文件下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。GB/T22080-2016/ISO/IEC27001:2013信息技术-安全技术-信息安全管理体系要求GB/T22081-2016/ISO/IEC27002:2013信息技术-安全技术-信息安全管理实施细则《纠正和预防措施控制制度》《文件控制制度》职责和权限信息安全管理领导小组：负责对信息安全管理体系进行管理评审，对体系的变更和修改进行决策。体系负责人：负责组织召开管理评审会议，并向信息安全管理领导小组汇报信息安全管理体系的运行情况。信息安全工作小组：负责管理评审材料的收集,并根据管理评审的决定，组织进行跟踪、验证实施效果。行政部:负责管理评审相关材料的备案。各部门：负责本部门提供评审材料。活动描述管理评审周期公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对前一年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。当发生下列情况时，信息安全管理领导小组可以临时决定增加管理评审。组织结构、资源配置发生重大变化；业务目标或业务运作流程发生重大变化；信息安全法律、法规发生重大变化；发生重大信息安全事件；风险等级的划分和风险可接受水平发生变化；其他不可预见情况需要时。管理评审内容信息安全工作小组根据评审内容进行内容收集工作，准备好评审必需的文件、资料等信息，并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。年度报告及管理评审内容应包括：信息安全管理体系相关文件变化；方针、目标完成情况及有效性测量结果；风险评估报告；内部和外部信息安全管理体系审核结果；纠正措施、预防措施实施报告；顾客等相关方反馈；实际运行的符合性；事故统计及分析报告；以往管理评审决定实施情况；可能影响信息安全管理体系的内外部环境的变化；改进的建议。管理评审计划信息安全体系负责人负责在管理评审实施前编制《管理评审计划》，并得到信息安全管理领导小组的批准。管理评审计划主要内容包括：评审范围、内容及时间安排；参加评审的单位和人员；评审会议议程。评审实施信息安全管理体系负责人负责主持管理评审活动。评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；信息安全管理体系文件的充分性和适宜性；事故事件情况；对重大危害因素和重要环境因素的控制情况；目标、指标和管理方案的实现情况；信息安全方针的适宜性；整个信息安全管理体系的符合性、有效性和适宜性；持续改进的意见。信息安全管理领导小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：信息安全管理体系有效性的改进；与顾客要求有关的服务的改进；资源需求等。持续改进评审结束后，根据评审结论和决定，信息安全工作小组负责向有关单位下达“不符合纠正预防通知单”（参见《纠正和预防措施控制程序》），并对改进、纠正、纠正措施和预防措施的实施效果进行跟踪验证。各相关单位制定并实施相应的改进措施，及时完善信息安全管理体系，实现持续改进，不断提高信息安全管理水平。不符合、纠正措施的实施按《纠正和预防措施控制程序》执行。管理评审产生的相关记录和资料由信息安全工作小