07管理评审程序.docx

目录目录11目的22范围23职责24相关文件25程序26记录61目的为确保组织信息安全管理体系持续的适宜性、充分性和有效性，评估组织信息安全管理体系改进和变更的需要，特制定本程序。2范围本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。3职责3.1 总经理主持信息安全管理体系管理评审。3.2 信息安全小组负责信信息安全管理体系管理评审的归口管理。4相关文件信息安全管理手册文件控制程序记录控制程序5程序5.1 管理评审策划5.1.1 管理评审的频次5.1.1.1 定期管理评审由管理者代表主持，通常每年进行一次，一般在内部审核后一至两个月内进行。当遇到下列情况时，可不受5.1.1.1的限制，由信息安全小组制定计划，报管理者代表批准后实施：a）当出现重大信息安全事件时；b）当信息安全管理体系发生较大变化时；c）当客户要求或外部环境条件发生重大变化时；d）内部审核、客户审核或ISO/IEC27001、ISO/IES20000T:2011外部审核时，发现了对全组织有影响，属信息安全管理体系上的重大不符合事项时。5.1.2 管理评审的方式管理评审以专题会议的方式进行，由管理者代表主持管理评审，评审会议由管理者代表、综合部、相关部门负责人参加，必要时可吸收对应专业管理人员参加。5.1.3 管理评审的准备5.1.3.1 计划编制信息安全小组根据要求组织编制管理评审计划，报管理者代表批准后，提前一周下发至各相关部门。5.1.3.2 相关准备相关部门按管理评审计划要求，对照信息安全管理体系运行情况进行自评，按各自职责做好相关信息、资料的准备工作，并将有关信息、资料于管理评审会议召开前3天提供给综合部。5.1.3.3 资料汇总信息安全小组将各相关部门提供的材料汇总、分析后编写信息安全管理体系运行情况报告于管理评审前1天交综合部审核。5.1.3.4 议程管理评审会议召开前1天，综合部应安排好会议的议程，通过管理者代表批准后填写管理评审通知单，并发放至评审计划要求参加的各相关部门（人员）。5.2 管理评审输入各相关部门接到管理评审计划后应向综合部提供如下材料和信息：a）信息安全管理体系运行的改进建议；b）本部门相关的外部反馈意见；c）本部门改进信息安全管理体系绩效的技术、产品和程序；d）预防和纠正措施的实施情况；e）本部门相关的有效性测量、考核情况及建议；f）风险评估未考虑的威胁和薄弱点；g）提供的资源满足需要的情况；h）与本部门相关的其它情况；i）信息安全管理体系变更和改进的建议。5.2.2报告要求综合部编写的信息安全管理体系运行情况报告作为管理评审的输入，应包含以下内容：a）信息安全管理体系方针、目标、指标的完成情况；b）内、外部审核结果和合规性评价的结果；c）客户反馈（客户满意度测量结果、客户投诉、客户抱怨、投诉和抱怨的处理结果）；d）改进信息安全管理体系绩效的技术、产品和程序；e）预防措施与纠正措施实施状况；f）风险评估未考虑的威胁和薄弱点；g）有效性测量、考核情况及建议；h）上次管理评审跟踪措施的实施情况；i）可能影响信息安全管理体系的变更的情况（如I：内部员工的变化，法律、法规的变化，组织机构或产品、活动的变化，外部环境的变化等）；j）信息安全管理体系变更和改进的建议。5.3 管理评审会议5.3.1 会议签到信息安全小组组织召开管理评审会议，与会人员在管理评审会议签到表上签到。5.3.2 报告总经理主持召开管理评审会议，综合部提交信息安全管理体系运行情况报告，作信息安全管理体系运行情况的专题报告。5.3.3 讨论全体与会人员根据综合部的专题报告,讨论并评审信息安全管理体系的适宜性、充分性和有效性。5.3.4 总结管理者代表对管理评审作结论性评价，提出要求和决策。5.3.5 会议记录信息安全小组负责管理评审现场记录，形成管理评审会议记录。5.4 管理评审输出5.4.1 报告内容信息安全小组根据管理评审会议记录编写管理评审报告。管理评审报告包括以下内容:a）管理评审的目的、时间、参加人员及评审内容；b）信息安全管理体系的适用性、充分性、有效性的综合评价和需要改进的地方；c）方针、目标、指标适宜性的评价及需要的更改；d）风险评估和风险处理计划的更新要求；e）修订程序和控制措施的需求；f）管理评审确定的改进决定和措施、责任部门和完成日期。5.4.2 批准管理评审报告经信息安全小组审核后交管理者代表批准。5.4.3 发放及归档信息安全小组将经过管理者代表批准的管理评审报告以文件形式下发各部门并存档。5.5 改进和验证5.5.1 改进根据管理评审报告提出的要求，信息安全小组组织各相关部门制定改进措施计划，并对实施情况进行协调、监督、检查。5.5.2 文件控制管理评审报告要求进行文件修改的，由信息安全小组按文件控制程序执行。5.5.3 验证信息安全小组组织相关职能部门对确定的纠正与预防改进措施的实施情况进行跟踪检查，并做好记录。5.5.4 记录归档管理评审资料、文件和记录按记录控制程序的要求归档和保管。6记录管理评审计划信息安全管理体系运行情况报告管理评审会议签到表管理评审会议记录管理评审报告管理评审改进措施实施计划培训记录表（管理评审改进项）