ISO27000-管理评审管理程序

管理评审管理程序
1 目的
通过最高管理者对信息安全管理体系的充分性、有效性、适宜性的评审，不断改善体系及其运行效果，以确保信息安全管理体系持续有效地满足标准的要求,确保本公司信息安全方针和目标适应公司自身发展的需要,以不断完善信息安全管理体系,需求持续改进的机会,特制定本程序。

2 范围
本程序适用于对本公司信息安全管理体系的评审。

3 职责
3.1 总经理
总经理负责主持管理评审活动,对信息安全管理体系的现状和适应性进行正式评价。

3.2 管理者代表
审核《管理评审报告》。

负责评审后的跟踪检查及协调落实改进措施中的问题。

3.3行政部
3.3.1协助总经理、管理者代表做好有关管理评审的各项工作。

3.3.2收集并准备管理评审所需的资料，控制好评审的输入和其它准备工作。

3.3.3整理并编写《管理评审报告》
3．4相关部门
3.4.1负责准备并提供评审所需的与管辖范围有关的资料。

3.4.2根据评审通知，出席会议并事先对全公司信息安全管理体系运行及改进重点准备好意见和建议。

3.4.3负责实施管理评审提出的涉及本部门的质量和环境改进措施。

3.4.4参照本公司管理评审的精神，评价本部门信息安全活动开展情况并提出相应的改进措施。

4、措施和方法
4.1总则
4.1.1管理评审每年至少进行一次,二次间隔时间不得超过十二个月。

4.1.2管理评审在内部信息安全管理体系审核的基础上进行,但在出现下列情况时,也应适时组织管理评审:
1）当本公司的组织机构、产品范围、资源配置发生重大变化时；
2）当发生重大信息安全问题或顾客关于信息安全有严重投诉或投诉连续发生时；
3）当市场需求发生重大变化时；
4）当总经理认为有必要进行时；
5）当法律法规\标准及其他要求有变化时；
6）即将进行第二\三方审核或法律\法规规定的审核时；
7）当信息安全审核中发现严重不合格时。

4.1.3管理评审应针对信息安全管理体系的适宜性、充分性和有效性进行评价。

4.1.4对是否需要更改本公司的信息安全管理体系方针和目标、指标作出评价。

4.1.5评审信息安全管理体系的现行状况和改进机会。

4.2评审的输入
4.2.1管理评审主要涉及信息安全管理体系运行的一般情况：
1）内部或外部审核所发现的问题和审核总结报告（包括上次管理评审跟踪措施）。

2）相关方的反馈。

3）现行信息安全管理体系的整体有效性、适应性和充分性。

4）用于改进信息安全管理体系业绩和有效性的技术、产品或程序。

5）纠正和预防措施状况。

6）以往风险评估没有充分强调的脆弱性或威胁。

7）有效性测量的结果。

8）任何可能影响信息安全管理体系的变更。

9）改进的建议。

4.2.2本公司信息安全管理体系的主要目标：
1）重大信息安全事件（事故）为零。

4.3评审的输出
4.3.1管理评审的输出应包括的措施涉及：
1）信息安全管理体系有效性的改进。

2）更新风险评估和风险处理计划。

3）必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理体系的内外事件，包括以下方面的变化：
a、业务要求；
b、安全要求；
c、影响现有业务要求的业务过程；
d、法律法规要求；
e、合同责任；
4）资源的需求。

5）改进测量控制措施有效性的方式。

4.3.2每次管理评审后，根据总经理意见形成的“管理评审报告”，应视具体情况明确有关改进要求。

4.4评审计划
4.4.1管理代表与行政部根据信息安全管理体系运行情况和内、外审的结果，针对评审输入信息要求，制定《管理评审计划》, 明确评审时间、评审内容和评审的具体输入要求，报总经理批准，通知相关职能部门准备及提供评审资料。

4.4.2行政部负责在评审前一周将《管理评审计划》，分发到每个与会者。

4.5评审的实施
4.5.1相关部门按《管平评审计划》，准备相关的信息、资料，对信息安全管理体系文件的适宜性、充分性及有效性作出评价，提出必进措施，由行政部汇总成《管理评审输入汇总报告》。

4.5.2总经理主持招开管理评审会议，并根据评审结果，作出管理评审结论性评价，对信息安全管理体系中存在主要问题制定纠正和预防措施，责成有关部门落实整改。

4.5.3管理评审形成《管理评审报告》，《管理评审报告》由管理者代表审核，总经理批准。

4.5.4评审时间一般为一个工作日
4.6评审的跟踪
4.6.1由管理者代表负责对每一项改进要求，实施具体跟踪直到取得预期的效果。

4.6.2管理者代表负责协调解决落实改进措施中的问题，并按季度检查跟踪措施执行情况，向总经理报告。

5、引用文件
5.1《内部审核管理程序》
5.2《信息业务连续性管理程序》
6、记录
JL0005-01《管理评审计划》
JL0005-02《管理评审输入汇总报告》
JL0005-03《管理评审报告》。