管理评审控制制度.docx

XXX信息安全有限公司管理评审控制制度文件编号:目录1 .目的和范围22 .引用文件23 .职责和权限24 .活动描述24.1. 管理评审周期24.2. 管理评审内容34.3. 管理评审计划34.4. 评审实施45 .持续改进46 .相关记录51 .目的和范围为了确保现行信息安全管理体系的适宜性、充分性和有效性；现行信息安全管理体系持续有效地满足标准的要求；公司的信息安全方针和目标适应自身发展的需要，对信息安全管理体系进行评审，特制定本制度。本制度适用于信息安全管理体系管理评审过程。2 .引用文件1）下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。2） GB/T22080-2016/IS0/IEC27001:2013信息技术安全技术信息安全管理体系要求3） GBZT22081-2016/ISO/IEC27002:2013信息技术安全技术-信息安全管理实施细则4）纠正和预防措施控制制度5）文件控制制度3 .职责和权限1）信息安全管理领导小组：负责对信息安全管理体系进行管理评审，对体系的变更和修改进行决策。2）体系负责人：负责组织召开管理评审会议，并向信息安全管理领导小组汇报信息安全管理体系的运行情况。3）信息安全工作小组：负责管理评审材料的收集,并根据管理评审的决定，组织进行跟踪、验证实施效果。4）行政部：负责管理评审相关材料的备案。5）各部门：负责本部门提供评审材料。4 .活动描述4.1. 管理评审周期公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对前一年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。当发生下列情况时，信息安全管理领导小组可以临时决定增加管理评审。1）组织结构、资源配置发生重大变化；2）业务目标或业务运作流程发生重大变化；3）信息安全法律、法规发生重大变化；4）发生重大信息安全事件；5）风险等级的划分和风险可接受水平发生变化;6）其他不可预见情况需要时。4.2. 管理评审内容信息安全工作小组根据评审内容进行内容收集工作，准备好评审必需的文件、资料等信息，并报体系负责人。各部门根据体系运行的情况形成部门管理评审输入报告做为评审会议的输入。年度报告及管理评审内容应包括：1）信息安全管理体系相关文件变化；2）方针、目标完成情况及有效性测量结果；3）风险评估报告；4）内部和外部信息安全管理体系审核结果；5）纠正措施、预防措施实施报告；6）顾客等相关方反馈；7）实际运行的符合性；8）事故统计及分析报告；9）以往管理评审决定实施情况；10）可能影响信息安全管理体系的内外部环境的变化：11）改进的建议。4.3. 管理评审计划信息安全体系负责人负责在管理评审实施前编制管理评审计划，并得到信息安全管理领导小组的批准。管理评审计划主要内容包括:1）评审范围、内容及时间安排；2）参加评审的单位和人员；3）评审会议议程。4.4. 评审实施信息安全管理体系负责人负责主持管理评审活动。1）评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：2）内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；a）信息安全管理体系文件的充分性和适宜性；b）事故事件情况；c）对重大危害因素和重要环境因素的控制情况；d）目标、指标和管理方案的实现情况；e）信息安全方针的适宜性；f）整个信息安全管理体系的符合性、有效性和适宜性；g）持续改进的意见。信息安全管理领导小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。3）管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：h）信息安全管理体系有效性的改进；i）与顾客要求有关的服务的改进；j）资源需求等。5 .持续改进1）评审结束后，根据评审结论和决定，信息安全工作小组负责向有关单位下达“不符合纠正预防通知单”（参见纠正和预防措施控制制度），并对改进、纠正、纠正措施和预防措施的实施效果进行跟踪验证。各相关单位制定并实施相应的改进措施，及时完善信息安全管理体系，实现持续改进，不断提高信息安全管理水平。2）不符合、纠正措施的实施按纠正和预防措施控制制度执行。3）管理评审产生的相关记录和资料由信息安全工作小组负责收集、汇总和保存，具体按记录控制制度执行。6.相关记录序号报告/记录名称保管场所期限保存形式备注1管理评审计划总裁办3年电子/纸质2各部门管理评审输入报告总裁办3年电子/纸质3会议签到表总裁办3年电子/纸质4管理评审报告总裁办3年电子/纸质本制度相关修改及解释权属于信息安全组织文档编号（由总裁办填写）密级内部公开文档发布级别公司级文档发布及实行范围全员制度试行日期（可选）制度执行日期文档起草人签字：文档修订人：签字：修订说明：备注：文档负责人：签字：文档审批信息安全管理者代表签字：文档审批人签字：