管理评审
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
1 管理评审与审核的区别
• 1.1 目的不同 • 信息安全管理体系审核确定信息安全活动及其结果的 • • • •
符合性和有效性; 管理评审就信息安全方针和目标对信息安全管理体系 的适宜性、充分性、有效性和效率进行规律系统的评 价。 1.2 依据不同 信息安全管理审核的依据是信息安全管理标准和信息 安全管理文件; 管理评审的依据是受益者的需要和期望,通常在体系 审核的基础上进行。
•
• • • • • •
内容一般包括: ---评审概况:包括进行本次管理评审的原因、目的、内容和实际做法、参 加评审的人员、评审日期等; ---对信息安全管理运行情况及效果的综合评价; ---针对面临的新形势、新问题、新情况,信息安全管理存在的问题与原因; ---关于采取纠正措施或预防措施的决定及要求;、 ---管理评审结论:管理评审一般应对以下三个问题做出综合性评价结论: · 信息安全管理各要素的评价结果; · 信息安全管理达到信息安全目标的整体效果; · 对信息安全管理随着新技术、信息安全概念、社会要求或环境条件的 变化而进行修改的建议。
• 3.3 管理评审的实施 • 由执行管理层主持管理评审会议,同时各部门的负责
人和有关人员参加.对评审内容展开充分的讨论和评 价。可以通过集体讨论或专题研讨的评审方法,达到 评审的日的和要求;也可以将评审的项目和要求列成 表格,并按某一评审标准逐一评价;同时可以采取调 阅评审有关信息安全管理文件和记录、深人现场进行 必要的专题或专项核查、对必要的过程、结果和活动 的信息安全进行核查等方式来评审。评审后,应提交 有关评审情况、结论和建议的书面报告,以便执行管 理层采取必要的措施。
1 管理评审与审核的区别
• 1.3 层次不同 • 信息安全管理审核控制信息安全活动及其结果符合方针目 • • • • • •
标要求,属战术性控制;管理评审控制方针、目标本身的 正确性,属战略性控制。 1.4 类型不同 信息安全管理审核可分为第一方、第二方、第三方三种类 型: 管理评审只有第一方。 1.5 结果不同 信息安全管理审核后的结果通常是:第一方是纠正不符合 项,使体系更有效运行;第二方是使顾客信任,企业增加 订单;第三方是使企业获得认证证书。 管理评审的结果通常是:改进信息安全管理,修订信息安 全手册和程序文件,提高信息安全管理水平和信息安全保 证能力。
• f) 持续改进的时机。
管理评审输入材料2
• (1)内、外审报告及相关材料 • (2)信息安全负责人、技术负责人的报告
• (3)各部门负责人的报告
• (4)在以上报告中应包含输入材料1的内容,
如不能包含,单独形成材料。
3
管理评审的实施步骤
• 3.4 管理评审报告 • 应由最高管理者签署,并在内部公布或分发至有关部门。管理评审报告的
1 管理评审与审核的区别
• 1.6 执行者不同 • 信息安全管理审核由与被审核领域无直接责任的人员
参加; • 管理评审由最高管理者亲自组织有关人员进行。 • 1.7 工作地点不同 • 信息安全管理审核是在工作现场完成;(现场)
Biblioteka Baidu
• 管理评审可能是在办公室内进行。(桌面)
2
管理评审的概念
• ISO27001也要求,“最高管理者应按计划的时间间隔
管理评审输入材料1
• a) 以往管理评审的措施状态;
• b) 内、外部信息安全管理体系相关问题的变化; • c) 反馈信息安全管控的执行情况,包括如下趋势:
• 1) 不符合情况和改正措施
• 2) 监控和测量的结果; • 3) 审核结果; • 4) 信息安全目标实现情况; • d) 相关方的反馈;
• e) 风险评估的结果和风险处置计划的状态;
到现行信息安全目标的适应性做出评价,对信息安全 管理与内外在变化的适应性做出评价,修改信息安全 管理文件,使信息安全管理更有效地运行。明确了管 理评审的目的,管理评审工作就会更有实效。 • ---评审组成员:以ISMS的执行管理层为主,各部门的 管理人员和审核人员等组成评审组。 • ---评审时间:确定具体评审时间,发出通知,以便各 有关部门做好评审的准备工作。管理评审一般在信息 安全管理审核以后进行。
3
管理评审的实施步骤
• 3.1 制定管理评审计划 • 评审内容: • · 分析信息安全管理的符合性:对内部信息安全管理审核结果的
分析,包括内部信息安全管理审核报告、纠正措施实施情况、 内部信息安全管理审核工作的效果等。对信息安全管理等文件 的分析,包括修改情况分析、补充情况分析、实施情况分析等。 • · 分析信息安全管理的有效性:包括结果信息安全情况,过程信 息安全情况,信息安全方针是否得到有效贯彻,信息安全目标 实现情况的分析,客户投诉是否减少或得到满意的解决,是否 针对客户投诉采取了有效的纠正和预防措施等。 • · 分析信息安全管理的适应性:对于出现的新情况来说,标准是 否更改,技术手段、组织机构、客户要求等是否发生变化;对 于出现的新需要来说,原来的体系是否有效,是否需要补充和 修改。 · 其他需要评审的事项:重要的纠正和预防措施是否适当,是否 有其他重要的纠正和预「防措施要批准,对体系的修改或补充 是一否适当,是否有重要的修改或补充内容需要批准等。
3
管理评审的实施步骤
• 3.2 管理评审的组织准备 • 在管理评审的准备过程中应针对评审的内容进行实际
情况的调查了解,做到有的放矢。也可由有关责任部 门准备专题文件或资料。如可能的话,可预先将涉及 评审内容的有关文件或资料分-发给参加评审的人员, 以便他们有充分的时间准备意见。
3
管理评审的实施步骤
3
管理评审的实施步骤
一般情况下应定期进行管理评审,至少每12个月进行 一次。管理评审应按规定的程序进行,做到有步骤、 有计划地实施。通常可分为以下五步。 1 制定管理评审计划 2 管理评审的组织准备 3 管理评审的实施 4 管理评审报告 5 管理评审后的工作
3
管理评审的实施步骤
• 3.1 制定管理评审计划 • 管理评审计划一般应包括: • ---评审目的:管理评审通常是为了对信息安全管理达
• 管理评审报告、资料和记录,要形成档案,妥善保存。
管理评审的输出
• 管理评审的输出应包括持续改进的时机和任何
需要更改的信息安全管理体系的相关决定。
• 应保留文档信息作为管理评审结果的证据。
3
管理评审的实施步骤
• 3.5 管理评审后的工作 • 管理评审工作结束后,各有关部门应对评审报告中提
出的纠正或预防措施要求制定相应的落实措施,同时 也应审定纠正措施或预防措施并具体实施。应在适当 的时候组织检查纠正措施和预防措施的实施情况,并 验证其实施效果。
4
管理评审中的注意事项
• • • • •
4.1 管理评审是执行管理层的重要职责。一般来说, 高层管理人员都应参加管理评审,并且就各自分管的 职能活动中的重大问题提出报告,共同协商解决。 4.2 管理评审包括但不限于以下活动: ---组织结构的适应性,包括人员或其他资源的适应性; --- 与 ISO/IEC 27001 标准的符合性,以及信息安全管 理实施的有效性; ---与信息安全方针的一致性; ---以客户反馈、内部反馈(如内部信息安全管理审核 的结果)、工作特性、结果信息安全以及采取的纠正 措施和预防措施为基础的信息。
评审信息安全管理体系,以确保其持续的适宜性、充 分性和有效性,评审应评价组织信息安全管理体系变 化的需要,包括信息安全方针和信息安全目标”。 • ISO27001要求,“信息安全的执行管理层须按照预定 的时间表和程序定期进行信息安全管理和测试和/或 校准活动的评审,以确保其持续适用性和有效性,并 进行必要的变更或改进”。
2
管理评审的概念
• 信息安全管理体系评审:最高管理者的任务之一是就
信息安全方针和信息安全目标,有规则地、系统地评 价信息安全管理体系的适宜性、充分性、有效性和效 率。这种评审可包括考虑修改信息安全方针和信息安 全目标的需求以响应相关方需求和期望的变化。评审 包括确定采取措施的需求。审核报告与其他信息源一 同用于信息安全管理体系的评审。 • 管理评审是在综合内部、外部各种信息的基础上,对 信息安全管理本身所做的一种评价活动,也就是说, 通过管理评审,可以得出现行的信息安全管理是否持 续适应内外在变化的要求、信息安全方针和信息安全 目标是否仍对各项信息安全活动具有指导性作用的结 论。
4
• 4.3
管理评审中的注意事项
应认真计划管理评审的时间间隔,定期进行评 审,以保证信息安全管理的持续适用性和有效性。 • 4.4 管理评审过程、评审频次和输入取决于具体情 况,要求管理评审的周期最大为12个月。 • 4.5 管理层应在管理评审中特别注意可能引起问题 的倾向,经常出现问题的区域尤其应重点考虑。所以 管理评审必然是在大量数据统计分析的基础上才能进 行,这与预防措施的采用可相互衔接。
2
管理评审的概念
• 管理评审是在信息安全管理审核的基础上进行的。
(管理评审不仅要对信息安全管理有关要素进行审查, 而且要对信息安全管理是否完善和持续有效、能否达 到预定的信息安全目标、是否适应内外的各种变化进 行检查。) • ISMS执行管理层对信息安全管理进行定期的或经常的 管理评审,有利于信息安全管理保持持续的有效和不 断改进,坚持管理评审制度是执行管理层信息安全意 识的表现之一,也是建立“活”的、动态的信息安全 管理的重要手段之一
4
• 4.6
管理评审中的注意事项
管理评审的依据是受益者的需要和期望,包括 市场和客户需求、有关法规和标准的要求、领导和全 体人员的期望。 • 4.7 管理评审可能会导致对信息安全管理较为重大 的调整和改进,这些要求和措施应及时执行,任何更 改的有效性都应加以评价。 • 4.8 管理评审应形成结论,以记录的形式妥善加以 保存。
• 1.1 目的不同 • 信息安全管理体系审核确定信息安全活动及其结果的 • • • •
符合性和有效性; 管理评审就信息安全方针和目标对信息安全管理体系 的适宜性、充分性、有效性和效率进行规律系统的评 价。 1.2 依据不同 信息安全管理审核的依据是信息安全管理标准和信息 安全管理文件; 管理评审的依据是受益者的需要和期望,通常在体系 审核的基础上进行。
•
• • • • • •
内容一般包括: ---评审概况:包括进行本次管理评审的原因、目的、内容和实际做法、参 加评审的人员、评审日期等; ---对信息安全管理运行情况及效果的综合评价; ---针对面临的新形势、新问题、新情况,信息安全管理存在的问题与原因; ---关于采取纠正措施或预防措施的决定及要求;、 ---管理评审结论:管理评审一般应对以下三个问题做出综合性评价结论: · 信息安全管理各要素的评价结果; · 信息安全管理达到信息安全目标的整体效果; · 对信息安全管理随着新技术、信息安全概念、社会要求或环境条件的 变化而进行修改的建议。
• 3.3 管理评审的实施 • 由执行管理层主持管理评审会议,同时各部门的负责
人和有关人员参加.对评审内容展开充分的讨论和评 价。可以通过集体讨论或专题研讨的评审方法,达到 评审的日的和要求;也可以将评审的项目和要求列成 表格,并按某一评审标准逐一评价;同时可以采取调 阅评审有关信息安全管理文件和记录、深人现场进行 必要的专题或专项核查、对必要的过程、结果和活动 的信息安全进行核查等方式来评审。评审后,应提交 有关评审情况、结论和建议的书面报告,以便执行管 理层采取必要的措施。
1 管理评审与审核的区别
• 1.3 层次不同 • 信息安全管理审核控制信息安全活动及其结果符合方针目 • • • • • •
标要求,属战术性控制;管理评审控制方针、目标本身的 正确性,属战略性控制。 1.4 类型不同 信息安全管理审核可分为第一方、第二方、第三方三种类 型: 管理评审只有第一方。 1.5 结果不同 信息安全管理审核后的结果通常是:第一方是纠正不符合 项,使体系更有效运行;第二方是使顾客信任,企业增加 订单;第三方是使企业获得认证证书。 管理评审的结果通常是:改进信息安全管理,修订信息安 全手册和程序文件,提高信息安全管理水平和信息安全保 证能力。
• f) 持续改进的时机。
管理评审输入材料2
• (1)内、外审报告及相关材料 • (2)信息安全负责人、技术负责人的报告
• (3)各部门负责人的报告
• (4)在以上报告中应包含输入材料1的内容,
如不能包含,单独形成材料。
3
管理评审的实施步骤
• 3.4 管理评审报告 • 应由最高管理者签署,并在内部公布或分发至有关部门。管理评审报告的
1 管理评审与审核的区别
• 1.6 执行者不同 • 信息安全管理审核由与被审核领域无直接责任的人员
参加; • 管理评审由最高管理者亲自组织有关人员进行。 • 1.7 工作地点不同 • 信息安全管理审核是在工作现场完成;(现场)
Biblioteka Baidu
• 管理评审可能是在办公室内进行。(桌面)
2
管理评审的概念
• ISO27001也要求,“最高管理者应按计划的时间间隔
管理评审输入材料1
• a) 以往管理评审的措施状态;
• b) 内、外部信息安全管理体系相关问题的变化; • c) 反馈信息安全管控的执行情况,包括如下趋势:
• 1) 不符合情况和改正措施
• 2) 监控和测量的结果; • 3) 审核结果; • 4) 信息安全目标实现情况; • d) 相关方的反馈;
• e) 风险评估的结果和风险处置计划的状态;
到现行信息安全目标的适应性做出评价,对信息安全 管理与内外在变化的适应性做出评价,修改信息安全 管理文件,使信息安全管理更有效地运行。明确了管 理评审的目的,管理评审工作就会更有实效。 • ---评审组成员:以ISMS的执行管理层为主,各部门的 管理人员和审核人员等组成评审组。 • ---评审时间:确定具体评审时间,发出通知,以便各 有关部门做好评审的准备工作。管理评审一般在信息 安全管理审核以后进行。
3
管理评审的实施步骤
• 3.1 制定管理评审计划 • 评审内容: • · 分析信息安全管理的符合性:对内部信息安全管理审核结果的
分析,包括内部信息安全管理审核报告、纠正措施实施情况、 内部信息安全管理审核工作的效果等。对信息安全管理等文件 的分析,包括修改情况分析、补充情况分析、实施情况分析等。 • · 分析信息安全管理的有效性:包括结果信息安全情况,过程信 息安全情况,信息安全方针是否得到有效贯彻,信息安全目标 实现情况的分析,客户投诉是否减少或得到满意的解决,是否 针对客户投诉采取了有效的纠正和预防措施等。 • · 分析信息安全管理的适应性:对于出现的新情况来说,标准是 否更改,技术手段、组织机构、客户要求等是否发生变化;对 于出现的新需要来说,原来的体系是否有效,是否需要补充和 修改。 · 其他需要评审的事项:重要的纠正和预防措施是否适当,是否 有其他重要的纠正和预「防措施要批准,对体系的修改或补充 是一否适当,是否有重要的修改或补充内容需要批准等。
3
管理评审的实施步骤
• 3.2 管理评审的组织准备 • 在管理评审的准备过程中应针对评审的内容进行实际
情况的调查了解,做到有的放矢。也可由有关责任部 门准备专题文件或资料。如可能的话,可预先将涉及 评审内容的有关文件或资料分-发给参加评审的人员, 以便他们有充分的时间准备意见。
3
管理评审的实施步骤
3
管理评审的实施步骤
一般情况下应定期进行管理评审,至少每12个月进行 一次。管理评审应按规定的程序进行,做到有步骤、 有计划地实施。通常可分为以下五步。 1 制定管理评审计划 2 管理评审的组织准备 3 管理评审的实施 4 管理评审报告 5 管理评审后的工作
3
管理评审的实施步骤
• 3.1 制定管理评审计划 • 管理评审计划一般应包括: • ---评审目的:管理评审通常是为了对信息安全管理达
• 管理评审报告、资料和记录,要形成档案,妥善保存。
管理评审的输出
• 管理评审的输出应包括持续改进的时机和任何
需要更改的信息安全管理体系的相关决定。
• 应保留文档信息作为管理评审结果的证据。
3
管理评审的实施步骤
• 3.5 管理评审后的工作 • 管理评审工作结束后,各有关部门应对评审报告中提
出的纠正或预防措施要求制定相应的落实措施,同时 也应审定纠正措施或预防措施并具体实施。应在适当 的时候组织检查纠正措施和预防措施的实施情况,并 验证其实施效果。
4
管理评审中的注意事项
• • • • •
4.1 管理评审是执行管理层的重要职责。一般来说, 高层管理人员都应参加管理评审,并且就各自分管的 职能活动中的重大问题提出报告,共同协商解决。 4.2 管理评审包括但不限于以下活动: ---组织结构的适应性,包括人员或其他资源的适应性; --- 与 ISO/IEC 27001 标准的符合性,以及信息安全管 理实施的有效性; ---与信息安全方针的一致性; ---以客户反馈、内部反馈(如内部信息安全管理审核 的结果)、工作特性、结果信息安全以及采取的纠正 措施和预防措施为基础的信息。
评审信息安全管理体系,以确保其持续的适宜性、充 分性和有效性,评审应评价组织信息安全管理体系变 化的需要,包括信息安全方针和信息安全目标”。 • ISO27001要求,“信息安全的执行管理层须按照预定 的时间表和程序定期进行信息安全管理和测试和/或 校准活动的评审,以确保其持续适用性和有效性,并 进行必要的变更或改进”。
2
管理评审的概念
• 信息安全管理体系评审:最高管理者的任务之一是就
信息安全方针和信息安全目标,有规则地、系统地评 价信息安全管理体系的适宜性、充分性、有效性和效 率。这种评审可包括考虑修改信息安全方针和信息安 全目标的需求以响应相关方需求和期望的变化。评审 包括确定采取措施的需求。审核报告与其他信息源一 同用于信息安全管理体系的评审。 • 管理评审是在综合内部、外部各种信息的基础上,对 信息安全管理本身所做的一种评价活动,也就是说, 通过管理评审,可以得出现行的信息安全管理是否持 续适应内外在变化的要求、信息安全方针和信息安全 目标是否仍对各项信息安全活动具有指导性作用的结 论。
4
• 4.3
管理评审中的注意事项
应认真计划管理评审的时间间隔,定期进行评 审,以保证信息安全管理的持续适用性和有效性。 • 4.4 管理评审过程、评审频次和输入取决于具体情 况,要求管理评审的周期最大为12个月。 • 4.5 管理层应在管理评审中特别注意可能引起问题 的倾向,经常出现问题的区域尤其应重点考虑。所以 管理评审必然是在大量数据统计分析的基础上才能进 行,这与预防措施的采用可相互衔接。
2
管理评审的概念
• 管理评审是在信息安全管理审核的基础上进行的。
(管理评审不仅要对信息安全管理有关要素进行审查, 而且要对信息安全管理是否完善和持续有效、能否达 到预定的信息安全目标、是否适应内外的各种变化进 行检查。) • ISMS执行管理层对信息安全管理进行定期的或经常的 管理评审,有利于信息安全管理保持持续的有效和不 断改进,坚持管理评审制度是执行管理层信息安全意 识的表现之一,也是建立“活”的、动态的信息安全 管理的重要手段之一
4
• 4.6
管理评审中的注意事项
管理评审的依据是受益者的需要和期望,包括 市场和客户需求、有关法规和标准的要求、领导和全 体人员的期望。 • 4.7 管理评审可能会导致对信息安全管理较为重大 的调整和改进,这些要求和措施应及时执行,任何更 改的有效性都应加以评价。 • 4.8 管理评审应形成结论,以记录的形式妥善加以 保存。