XX-1-COM-ISMS管理评审办法

第3页共9页文档编号XX_1_COM_信息安全管理体系管理评审办法版本号V1.0密级内部公开信息安全管理体系管理评审办法XXX信息技术有限公司文档信息发布版本：最后发布时间：编写人：审核人：文档编写目的本文档的编写是为了用于评审信息安全管理体系的持续适宜性、充分性、有效性，同时识别体系改进的机会，确定变更的需要，确保评审的有效性、准确性和完备性。文档主要内容本文档描述了XXX信息技术有限公司信息安全管理体系的管理评审办法，从评审的组织责任、评审程序、评审内容，阐述了管理评审的具体实施规则和办法，为管理评审的规范化实施提供具体指导。文档适用范围本文档适用于XXX信息技术有限公司。版本控制编号修订人修订时间版本号修订内容说明1234目录TOC\o"1-1"\h\z\u第一章总则 4第二章管理评审的重要性 4第三章组织职责 5第四章管理评审程序 5第五章评审的主要内容 8第六章附则 9第一章总则为了确保XXX信息技术有限公司（以下简称“XXX”）信息安全管理体系（以下简称“ISMS”）的适宜性、充分性、有效性，同时识别改进的机会，确定变更的需要，需定期进行ISMS的管理评审。依据GB/T22080-2008/ISO/IEC27001：2005《信息技术安全技术信息安全管理体系要求》，结合XXX实际情况，特制定本文件。管理评审需坚持公开、公平、公正的原则进行，做到有据可依，评价准确。评审的结果需进行文档记录，并维护。第二章管理评审的重要性PDCA模式是ISMS采用的一种过程模式，这种模式把过程分为策划(Plan)、实施(Do)、检查(Check)、处置(Act)四个阶段，通过这四个阶段的持续循环，使过程效果得到不断提升。管理评审是信息安全管理体系PDCA运行模式的一个重要环节，是体系自我改进、自我完善的过程。管理评审由风险委员会组织实施，通过讨论、评审和信息交流，总结ISMS运行的成效和不足，识别改进ISMS的需要，制定相应的信息安全决策，确保体系的适宜性、充分性和有效性。第三章组织职责风险委员会在管理评审工作中主要负责：主持管理评审会议；对于评审内容做出相应决策；审批管理评审的计划和报告。信息安全管理工作小组负责管理评审的具体工作，包括：制定ISMS管理评审计划；编写并提交ISMS管理评审报告；跟踪管理评审后续工作的开展及向风险委员会汇报工作结果。各相关部门负责参与协助完成管理评审，包括：准备并提供与本部门有关的评审所需资料；配合评审人员，完成管理评审；协助落实管理评审中提出的有关纠正、预防措施。第四章管理评审程序评审时间和频率定期进行管理评审定于每年的12月份进行管理评审，一年一次，可根据实际情况进行适当调整。发生下列情况时，需适时进行管理评审：XXX内、外部环境发生较大变化时，如组织结构、业务模式有重大调整，IT资源与架构发生重大技术革新，标准、法律、法规发生变更等；ISMS发生重大变动，例如：信息安全方针，目标进行了修改时；内部审核和外部审核发现重大不符合项时；风险委员会认为必要时，如发生重大信息安全事故。评审的准备编制管理评审计划由信息安全工作小组负责编制《XXXISMS管理评审计划》，经风险委员会批准后，在进行管理评审15日前下发至参加评审人员。管理评审计划内容主要包括评审目的、评审依据、评审内容、评审议题、评审程序、评审参加人员、评审的时间安排、评审输入的准备等。准备评审资料信息安全工作小组组织各相关部门按照管理评审计划的要求准备管理评审输入所要求的各方面评审资料，评审资料应尽可能充分、全面。主要包括以下资料：上年度管理评审报告；本年度内部审核报告；重大信息安全事件处理的结果；利益相关方的反馈，如监管机构、董事会等的反馈；有助于改善ISMS绩效的技术、产品或程序；预防和纠正措施的实施情况；风险评估的结果；可能影响ISMS的变化，例如组织结构的调整；针对ISMS运行过程中存在的问题，提出的相关改进建议。评审实施风险委员会主持会议，指定专人记录会议纪要；信息安全工作小组对ISMS的运行情况作相关陈述或报告；参加评审人员针对评审议题做出评价，对存在或潜在的不符合项提出纠正、预防措施，确定责任和完成期限。风险委员会对涉及的评审内容做出决策。评审输出ISMS有效性的改进措施；更新风险评估和风险处置计划；必要时，修订ISMS相关文件；资源需求；其他重要决议。评审报告信息安全工作小组负责整理本次管理评审记录并编写《XXXISMS管理评审报告》；《XXXISMS管理评审报告》经风险委员会审批后，由信息安全工作小组发文给相关部门和下属机构。评审的后续追踪信息安全工作小组负责牵头落实管理评审的各项决议和改进措施，各相关部门负责配合；对于评审报告中有关决议和措施要求（包括预防/纠正措施），相关责任部门需在规定时间内予以实施，信息安全工作小组对实施的结果进行验证，并向风险委员会汇报落实结果。第五章评审的主要内容管理评审需重点评审以下内容:外部法律法规、政策、市场环境的变化对信息安全新的要求；信息安全组织结构、管理职能、资源是否配置得当；ISMS目标及方针是否得到有效贯彻，每项活动的过程、环节是否得到有效控制；信息安全风险的总体控制水平；重