《B07信息安全-管理评审程序.docx》由会员分享,可在线阅读,更多相关《B07信息安全-管理评审程序.docx(6页珍藏版)》请在第一文库网上搜索。
1、深圳市*科技有限公司管理评审程序编 号:ISMS-B-07版本号:VI. 0编制:日期:2021-8-5审核:日期:2021-8-5批准:日期:2021-8-5受控状态|受控文件1目的为确保组织信息安全管理体系持续的适宜性、充分性和有效性,评估组织信息安全管理体系改进和变更的需要,特制定本程序。Mil本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。3职责31总经理主持信息安全管理体系管理评审。3. 2综合管理部负责信息安全管理体系管理评审的归口管理。4相关文件信息安全管理手册文件控制程序记录控制程序5程序5.1 管理评审策划5.1.1 管理评审的频次5.1. 1. 1 定期
2、管理评审由总经理主持,通常每年进行一次,一般在内部审核后进行。25.1. 1. 2非定期当遇到下列情况时,可不受5.L1.1的限制,由综合管理部制定计划,信息安全管理小组审核,报总经理批准后实施:a)当出现重大信息安全事件时;b)当信息安全管理体系发生较大变化时;c)当客户要求或外部环境条件发生重大变化时;d)内部审核、客户审核或IS0/IEC27001外部审核时,发现了对全组织有影响,属信息安全管理体系上的重大不符合事项时。5.1.2 管理评审的方式管理评审以专题会议的方式进行,由总经理主持管理评审,评审会议由总经理、相关部门负责人参加,必要时可吸收对应专业管理人员参加。5.1.3 管理评审
3、的准备5.1. 3.1计划编制综合管理部根据管理评审要求组织编制管理评审计划,报信息安全管理小组审核,总经理批准后,提前一周下发至各相关部门。5.1. 3. 2相关准备相关部门按管理评审计划要求,对照信息安全管理体系运行情况进行自评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评审会议召开前3天提供给综合管理部。5.1. 3. 3资料汇总综合管理部将各相关部门提供的材料汇总、分析后编写信息安全管理体系运行情况报告于管理评审前1天交信息安全小组审核。35. 1. 3. 4 议程管理评审会议召开前1天,综合管理部应安排好会议的议程,通过总经理批准后填写管理评审通知单,并发放至评
4、审计划要求参加的各相关部门(人员)。5. 2管理评审输入各相关部门接到管理评审计划后应向综合管理部提供如下材料和信息、:a)以往管理评审的措施的状态;b)与信息安全管理体系相关的外部和内部问题的变更;c)信息安全绩效的反馈,包括下列方面的趋势:1)不符合和纠正措施;2)监视和测量结果;3)审核结果;4)信息安全目标的实现;d)相关方的反馈;e)风险评估的结果和风险处置计划的状态;f)持续改进的机会。5.3管理评审会议5. 3.1会议签到综合管理部组织召开管理评审会议,与会人员在管理评审会议签到表上签到。5. 3. 2报告总经理主持召开管理评审会议,综合管理部提交信息安全管理体系运行情况报告,作
5、信息安全管理体系运行情况的专题报告。5. 3. 3讨论全体与会人员根据综合管理部的专题报告,讨论并评审信息安全管理体系的适宜性、充分性和有效性。5. 3. 4总结总经理对管理评审作结论性评价,提出要求和决策。5.4管理评审输出5. 4.1报告内容管理评审报告包括以下内容:a)管理评审的目的、时间、参加人员及评审内容;b)信息安全管理体系的适用性、充分性、有效性的综合评价和需要改进的地方;c)方针、目标、指标适宜性的评价及需要的更改;d)风险评估和风险处理计划的更新要求;e)修订程序和控制措施的需求;f)管理评审确定的改进决定和措施、责任部门和完成日期。5. 4. 2批准管理评审报告经综合管理部
6、审核后交总经理批准。5. 4. 3发放及归档综合管理部将经过总经理批准的管理评审报告以文件形式下发各部门并存档。5.5改进和验证5. 5. 1改进根据管理评审报告提出的要求,综合管理部组织各相关部门制定改进措施计划,并对实施情况进行协调、监督、检查。5. 5. 2文件控制管理评审报告要求进行文件修改的,由综合管理部按文件控制程序执行。5. 5. 3验证综合管理部组织相关职能部门对确定的纠正与预防改进措施的实施情况进行跟踪检查,并做好记录。5. 5. 4记录归档管理评审资料、文件和记录按记录控制程序的要求归档和保管。6记录管理评审计划信息安全管理体系运行情况报告管理评审通知单管理评审会议签到表管理评审报告6