管理评审管理程序-2023年信息安全管理体系认证审核资料(内含全套表格)

文件履历变更记录表序号制定/修订日期修订内容修订原因对应条款012023.02.27首次编制9.3管理评审目录1目的 42范围 43术语和定义 44职责 45程序内容 56支持性文件 97记录 9附表一：管理评审计划表 10附表二：管理评审会议记录 11附表三：纠正和预防措施记录表 12附表四：管理评审会议签到表 14信息安全管理体系管理评审管理程序1目的通过编制信息安全管理体系管理评审程序文件，规范管理评审流程。通过管理评审对公司信息安全管理体系（ISMS）的适宜性、充分性和有效性定期进行评价，确保体系符合标准要求，持续改进，不断提高信息安全管理绩效水平。2范围适用于公司信息安全管理体系（ISMS）的管理评审工作。3术语和定义3.1管理体系：组织为实现目标而建立政策、目标和过程的一组相互管理、相互作用的要素。3.2改进：提高业绩的活动。3.3评审：为实现已确定的目标，确定对象的充分性、适宜性和有效性。4职责4.1总经理4.1.1批准公司信息安全管理体系（ISMS）管理评审计划；4.1.2主持信息安全管理体系（ISMS）管理评审会议；4.1.3对信息安全管理体系（ISMS）的改进做出决策，批准信息安全管理体系（ISMS）管理评审报告及改进措施。4.2信息安全管理负责人4.2..1组织编写公司的“信息安全管理体系（ISMS）年度运行情况综合报告”。4.2.2组织落实管理评审中提出的改进措施。4.3体系组4.3.1组织公司各部门提供信息安全管理体系（ISMS）管理评审所需要的相关资料。4.3.2负责组织制定信息安全管理体系（ISMS）“管理评审计划”。4.3.3编写信息安全管理体系（ISMS）“管理评审报告”。4.3.4负责落实信息安全管理评审中提出的有关纠正措施和预防措施的实施效果验证。4.4公司各相关部门按计划提交管理评审资料，负责落实信息安全管理体系（ISMS）管理评审中提出的有关纠正措施和预防措施的要求。5程序内容5.1工作程序5.1.1管理评审原则上每年进行一次，每两次评审时间间隔不得超过12个月。5.1.2在下列情况下，总经理批准可增加评审的频次：（1）相关法律法规发生变化；（2）公司所处的内外部环境发生重大变化；（3）新技术、新项目、新工艺的出现；（4）公司组织机构、产品、活动或服务的范围、资源配置发生重大变化；（5）公司发生重大事故；（6）信息安全管理体系（ISMS）结构发生重大变化。5.2管理评审的准备5.2.1总经理决定评审后，信息安全管理负责人组织有关部门进行评审的准备。5.2.2管理者代表根据总经理的评审要求，组织编制本次“信息安全管理评审计划”，内容包括评审目的、时间、地点、内容、参加人员、评审依据、所需文件材料等，“管理评审计划”由总经理批准后实施。5.2.3管理者代表在评审前一周将“管理评审计划”按规定范围发给信息安全管理体系（ISMS）管理评审的部门和人员。5.2.4公司各部门按“管理评审计划”准备相关评审材料，内容包括：纠正和预防措施的实施情况（如各部门信息安全管理体系（ISMS）运行情况报告，需管理评审会议或领导解决的重大问题提纲）。5.3管理评审的输入信息安全管理体系（ISMS）管理评审的输入包括：a）以往管理评审要求采取措施的状态；b）与信息安全管理体系相关的内部和外部问题的变化；c）信息安全绩效有关的反馈，包括下列趋势性信息：1）不符合和纠正措施；2）审核结果；3）信息安全目标完成情况；4）监视和测量结果。d）相关方的反馈；e）风险评估结果及风险处置计划的状态；f）持续改进的机会。5.4管理评审的实施5.4.1管理评审以会议形式进行，评审会议由总经理主持，由信息安全管理负责人、各副总经理、各部门负责人及相关人员参加会议，体系组负责会议记录。5.4.2管理者代表向会议做“信息安全管理体系（ISMS）年度运行综合情况报告”，包括信息安全管理体系方针、目标的落实情况、信息安全管理体系（ISMS）运行情况、信息交流沟通情况、资源配置情况以及信息安全管理体系（ISMS）中的重大问题，针对信息安全管理体系（ISMS）运行各个方面的基本情况和主要问题提出初步建议。有关领导和各部门负责人对本部门内信息安全管理体系（ISMS）运行的主要问题和建议作补充汇报。5.4.3总经理负责对所评审的重要内容逐条进行评审，对信息安全管理方针、目标、指标和管理方案进一步落实或进行必要的修订，对已主要问题应做出决策和决定，提出纠正和预防措施的要求，确定资源的调整和增减，确定责任部门及整改时间等。5.4.4总经理对涉及的评审内容和整个信息安全管理体系（ISMS）的适宜性、充分新和有效性做出评价和结论并提出改进要求。5.5管理评审输出5.5.1信息安全管理体系（ISMS）运行控制等管理工作的改进，包括对信息安全管理方针、目标、指标、组织机构和信息安全管理实施的过程控制等方面的改进。5.5.2提出对现有的信息安全管理体系（ISMS）管理工作的改进措施。5.5.3为实施改进的资源需求。5.6管理评审报告信息安全管理评审结束后，体系组根据评审记录和有关要求编写“管理评审报告”，报告内容包括：5.6.1管理评审时间，主持人及与会者。5.6.2评审目的。5.6.3评审依据。5.6.4评审内容。5.6.5评审概况与结论。5.6.6纠正措施和预防措施及体系改进要求。“管理评审报告”由信息安全管理负责人审核后报总经理批准，由体系组分发相关部门并监督执行。5.7纠正和预防措施的实施和验证5.7.1管理者代表根据评审中提出的要求组织有关部门对相应的纠正和预防措施给与落实，体系组对纠正和预防措施的实施情况及问题进行跟踪验证，执行《不符合、纠正和预防措施程序》，并将验证结果向信息安全管理负责人和总经理交书面报告。4.7.2如管理评审结果引起文件更改，应执行《文件控制程序》。5.8管理评审记录由行政部保存。6支持性文件6.1《文件控制程序》6.2《记录控制程序》6.3《不符合、纠正和预防措施程序》6.4《内部审核控制程序》7记录7.1管理评审计划7.2管理评审报告7.3信息安全管理体系年度运行情况综合报告7.4纠正与预防措施执行情况分析报告附表一：管理评审计划表评审目的评审范围评审依据评审内容评审人员主持人:参加人:评审时间评审资料准备品管部负责人意见签字：最高管理者审批意见签字:附表二：管理评审会议记录主持评审部门评审时间评审目的评审范围评审内容结论评审中发现的问题及跟踪验证情况：评审组成员（签名）主持人:参加人:管理评审综述：品管部负责人:主任批准意见签字：附表三：纠正和预防措施记录表实际（潜在）不合格/不符合事实：记录人：日期；年月日原因分析及纠正/预防措施：措施批准人；实施负责人；日期年月日纠正/实施记录：实施负责人日期：年月日实施效果验证：验证人；日期；年月日预防措施计划：编制：预定完成日期：