1 目的
为确保组织信息安全管理体系持续的适宜性、充分性和有效性,评估组织信息安全管理体系改进和变更的需要,特制定本程序。
2 范围
本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。
3 职责
3.1 总经理
主持信息安全管理体系管理评审。
3.2 信息安全小组
负责信信息安全管理体系管理评审的归口管理。
4 相关文件
《信息安全管理手册》
《文件控制程序》
《记录控制程序》
5 程序
5.1 管理评审策划
5.1.1 管理评审的频次
5.1.1.1 定期
管理评审由管理者代表主持,通常每年进行一次,一般在内部审核后一至两个月内进行。
5.1.1.2 非定期
当遇到下列情况时,可不受5.1.1.1的限制,由信息安全小组制定计划,报管理者代表批准后实施:
a) 当出现重大信息安全事件时;
b) 当信息安全管理体系发生较大变化时;
c) 当客户要求或外部环境条件发生重大变化时;
d) 内部审核、客户审核或ISO/IEC27001、ISO/IES 20000-1:2011外部审核时,发现了对全组织有影响,属信息安全管理体系上的重大不符合事项时。
5.1.2 管理评审的方式
管理评审以专题会议的方式进行,由管理者代表主持管理评审,评审会议由管理者代表、办公室、相关部门负责人参加,必要时可吸收对应专业管理人员参加。
5.1.3 管理评审的准备
5.1.3.1 计划编制
信息安全小组根据要求组织编制《管理评审计划》,报管理者代表批准后,提前一周下发至各相关部门。
5.1.3.2 相关准备
相关部《管理评审计划》要求,对照信息安全管理体系运行情况进行自评,按各自职责做好相关信息、资料的准备工作,并将有关信息、资料于管理评审会议召开前3天提供给办公室。
5.1.3.3 资料汇总
信息安全小组将各相关部门提供的材料汇总、分析后编写《信息安全管理体系运行情况报告》于管理评审前1天交办公室审核。
5.1.3.4 议程
管理评审会议召开前1天,办公室应安排好会议的议程,通过管理者代表批准后填写《管理评审通知单》,并发放至评审计划要求参加的各相关部门(人员)。
5.2 管理评审输入
5.2.1 资料
各相关部门接到《管理评审计划》后应向办公室提供如下材料和信息:
a) 信息安全管理体系运行的改进建议;
b) 本部门相关的外部反馈意见;
c) 本部门改进信息安全管理体系绩效的技术、产品和程序;
d) 预防和纠正措施的实施情况;
e) 本部门相关的有效性测量、考核情况及建议;
f) 风险评估未考虑的威胁和薄弱点;
g) 提供的资源满足需要的情况;
h) 与本部门相关的其它情况;
i) 信息安全管理体系变更和改进的建议。
5.2.2 报告要求
办公室编写的《信息安全管理体系运行情况报告》作为管理评审的输入,应包含以下内容:
a) 信息安全管理体系方针、目标、指标的完成情况;
b) 内、外部审核结果和合规性评价的结果;
c) 客户反馈(客户满意度测量结果、客户投诉、客户抱怨、投诉和抱怨的处理结果);
d) 改进信息安全管理体系绩效的技术、产品和程序;
e) 预防措施与纠正措施实施状况;
f) 风险评估未考虑的威胁和薄弱点;
g) 有效性测量、考核情况及建议;
h) 上次管理评审跟踪措施的实施情况;
i) 可能影响信息安全管理体系的变更的情况(如:内部员工的变化,法律、法规的变化,组织机构或产品、活动的变化,外部环境的变化等);
j) 信息安全管理体系变更和改进的建议。
5.3 管理评审会议
5.3.1 会议签到
信息安全小组组织召开管理评审会议,与会人员在《管理评审会议签到表》上签到。
5.3.2 报告
总经理主持召开管理评审会议,办公室提交《信息安全管理体系运行情况报告》,作信息安全管理体系运行情况的专题报告。
5.3.3 讨论
全体与会人员根据办公室的专题报告,讨论并评审信息安全管理体系的适宜性、充分性和有效性。
5.3.4 总结
管理者代表对管理评审作结论性评价,提出要求和决策。
5.3.5 会议记录
信息安全小组负责管理评审现场记录,形成《管理评审会议记录》。
5.4 管理评审输出
5.4.1 报告内容
信息安全小组根据《管理评审会议记录》编写《管理评审报告》。《管理评审报告》包括以下内容:
a) 管理评审的目的、时间、参加人员及评审内容;
b) 信息安全管理体系的适用性、充分性、有效性的综合评价和需要改进的地方;
c) 方针、目标、指标适宜性的评价及需要的更改;
d) 风险评估和风险处理计划的更新要求;
e) 修订程序和控制措施的需求;
f) 管理评审确定的改进决定和措施、责任部门和完成日期。
5.4.2 批准
《管理评审报告》经信息安全小组审核后交管理者代表批准。
5.4.3 发放及归档
信息安全小组将经过管理者代表批准的《管理评审报告》以文件形式下发各部门并存档。