管理评审控制程序(ISO27001-2013)

XXXXXXXXX有限责任公司信息安全管理体系程序文件编号：XXXX-B-01～XXXX-B-41（符合ISO/IEC 27001-2013标准）拟编：信息安全小组日期：2015年02月01日审核：管代日期：2015年02月01日批准：批准人名日期：2015年02月01日发放编号: 01受控状态：受控2015年2月1日发布2015年2月1日实施[XXXX-B-01]信息安全风险管理程序[XXXX-B-02]文件控制程序[XXXX-B-03]记录控制程序[XXXX-B-04]纠正措施控制程序[XXXX-B-05]预防措施控制程序[XXXX-B-06]内部审核管理程序[XXXX-B-07]管理评审程序[XXXX-B-08]监视和测量管理程序A6[XXXX-B-09]远程工作管理程序A7[XXXX-B-10]人力资源管理程序A8[XXXX-B-11]商业秘密管理程序A8[XXXX-B-12]信息分类管理程序A8[XXXX-B-13]计算机管理程序A8[XXXX-B-14]可移动介质管理程序A9[XXXX-B-15]用户访问管理程序A9[XXXX-B-16]信息系统访问与监控管理程序A9[XXXX-B-17]信息系统应用管理程序A10[XXXX-B-18]账号密码控制程序A11[XXXX-B-19]安全区域管理程序A12.1.2[XXXX-B-20]变更管理程序A12.1.3[XXXX-B-21]容量管理程序A12.2.1[XXXX-B-22]恶意软件管理程序A12.3[XXXX-B-23]重要信息备份管理程序A12.6[XXXX-B-24]技术薄弱点管理程序A13[XXXX-B-25]电子邮件管理程序A13[XXXX-B-27]信息安全沟通协调管理程序A13[XXXX-B-28]信息交换管理程序A14.2.9[XXXX-B-29]信息系统验收管理程序A14.2[XXXX-B-30]信息系统开发建设管理程序A14[XXXX-B-31]软件开发管理程序A14[XXXX-B-32]数据安全管理程序A14[XXXX-B-33]OA管理程序A15.2[XXXX-B-34]第三方服务管理程序A15[XXXX-B-35]供应商管理程序A15[XXXX-B-36]相关方信息安全管理程序A16[XXXX-B-37]信息安全事件管理程序A17.2[XXXX-B-38]信息处理设施管理程序A17[XXXX-B-39]业务持续性管理程序A18[XXXX-B-40]信息安全法律法规管理程序A18[XXXX-B-41]知识产权管理程序XXXXXXXXX有限责任公司知识产权管理程序[XXXX-B-41]V1.0知识产权管理程序变更履历1 目的通过对知识产权的流程管理，规范整个知识产权管理工作，保证知识产权管理工作的每个环节的合理性、有效性和流畅，为组织的知识产权保护与管理奠定基础。

管理评审控制程序※※※※※※※※※此文件未经批准﹐不准复印※※※※※※※※※※1.0目的规定管理评审的活动方法及过程，通过执行本程序以保持质量管理体系的持续性、适宜性及有效性。

2.0范围适用于对质量管理体系的运行现状及适用性正式评价。

3.0权责行政部制定本程序，相关单位、人员遵照执行。

4.0定义（无）5.0内容5.1管理评审的时机与评审计划的发布：管理评审每半年至少进行一次，原则上安排在某次内审后的一个月内进行，由管理者代表制定管理评审会议通知，由总经理批准；当出现特殊情况(如重大质量问题、组织架构大变更等)可追加审核。

5.2管理评审应输入的内容A.上次管理评审的决议完成情况跟进；B.质量方针、质量目标的达成状况检讨；C.过程的绩效和产品的符合性；D.纠正与预防措施的执行状况检讨；E.内部或外部质量体系审核的结果检讨；F.客户反馈/投诉/退货及处理的结果检讨；G.组织大变更、重大质量问题或质量体系变更对原质量体系影响的评审；H.改进的建议检讨等。

5.3评审前的准备：A.管理者代表拟定管理评审会议通知，提交总经理或授权人批准后分发至各部门。

B.各部门针对本部门质量管理体系情况及与5.2节内容相关资料进行整理、汇总。

5.4评审实施召开：A.由总经理或授权管理者代表主持管理评审会议。

B.由会议主持人提出议程，讨论此次评审中存在的问题，必要时可在现场进行验证。

C.管理评审会议议程：a.参会人员签到；b.总经理或管理者代表致辞；c.上次管理评审的决议完成情况跟进；d.各部门报告；e.改进的建议检讨；f.临时事项；j.结论/决议。

D.管理者代表根据评审会议结论或决议，编制管理评审报告提交总经理或授权人批准并公布结果。

E.如需要采取纠正和预防措施，参考《改进程序》，由行政部或管理者代表授权人监督执行，并组织跟踪。

5.5管理评审的输出至少应包括：A.现行的质量体系及其过程的有效性的改进措施；B.同客户要求相关的产品的改善措施；C.确定资源(人力资源、其他资源)需求与否：D.管理评审结论、决议。

XXXXXXXXX有限责任公司
容量管理程序
[XXXX-B-21]
Ver 1.0
变更履历
容量管理程序
容量管理程序
1 目的
为了最小化系统失效的风险，确保公司的信息系统容量满足要求，对公司信息系统容量管理活动实施控制，特制定本策略。

2 范围
适用于对公司信息系统容量规划的活动。

3 职责
3.1 技术部
负责对信息系统容量进行规划。

4 容量管理策略
应对资源的使用进行监测、调整、并对未来容量增加的需求作出预测，以确保所需的系统性能。

1）应对每个新的和正在进行的活动都确定容量需求。

应进行系统调整和系统监测以确保和改进（需要时）系统的可用性和有效性。

检测控制应到位，以便及时发现问题。

2）未来容量需求的预测应考虑组织信息处理能力中新业务和系统的需求以及当前和预计的趋势。

3）需特别关注采购周期长或费用高昂的所有资源；因此，管理者应监测关键系统资源的使用情况。

他们应标识出资源的使用趋势，特别是与业务应用或管理信息系统工具相关的资源。

4）管理者应利用这些信息来识别和避免对系统安全或服务造成威胁的潜在瓶颈和对关键人员的依赖，并策划适当的补救措施。

5 记录
《系统容量规划》。

XXXXXX软件有限公司人性化科技提升业绩管理评审控制制度目录1. 目的和范围 (2)2. 引用文件 (2)3. 职责和权限 (2)4. 活动描述 (3)4.1.管理评审周期 (3)4.2.管理评审内容 (3)4.3.管理评审计划 (4)4.4.评审实施 (5)5. 持续改进 (6)6. 相关记录 (6)1.目的和范围为了确保现行信息安全管理体系的适宜性、充分性和有效性；现行信息安全管理体系持续有效地满足标准的要求；公司的信息安全方针和目标适应自身发展的需要，对信息安全管理体系进行评审，特制定本制度。

本制度适用于信息安全管理体系管理评审过程。

2.引用文件1)下列文件中的条款通过本规定的引用而成为本规定的条款。

凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。

凡是不注日期的引用文件，其最新版本适用于本标准。

2)GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求3)GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则4)《纠正和预防措施控制制度》5)《文件控制制度》3.职责和权限1)信息安全管理领导小组：负责对信息安全管理体系进行管理评审，对体系的变更和修改进行决策。

2)体系负责人：负责组织召开管理评审会议，并向信息安全管理领导小组汇报信息安全管理体系的运行情况。

3)信息安全工作小组：负责管理评审材料的收集,并根据管理评审的决定，组织进行跟踪、验证实施效果。

4)行政部: 负责管理评审相关材料的备案。

5)各部门：负责本部门提供评审材料。

4.活动描述4.1. 管理评审周期公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对前一年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。

文件制修订记录1.0目的为确保ISO27001信息安全管理体系持续的适宜性、充分性、有效性，对信息安全管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。

2.0适用范围本程序适用于最高管理者对信息安全管理体系的评审。

3.0职责与权限3.1 公司高管➢主持召开管理评审大会；➢批准《管理评审报告》3.2 管理者代表➢批准《管理评审计划》；➢组织召开管理评审会；➢组织撰写《管理评审报告》3.3 主管体系建设部门（人事部）➢制定《管理评审计划》；➢负责搜集并提供管理评审资料；➢负责对评审后的纠正、预防措施进行跟踪和验证。

3.4 各部门➢准备、提供与本部门工作相关的评审所需资料；➢负责实施管理评审中提出的相关的纠正、预防措施。

4.0程序和工作流程4.1 制定年度管理评审计划4.1.1 年度管理评审计划组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况，根据《信息安全管理手册》以及ISO27001的标准要求，于每年年初制定《年度管理评审计划》。

管理评审计划由管理者代表审批后方可生效。

4.1.2 年度管理评审计划的内容管理评审计划的主要内容包括：审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。

4.1.3 管理评审的频次管理评审一般每年进行一次，一般在同一年度最后一次内部审核完成后进行。

也可根据需要安排。

当出现下列情况之一时可适当增加管理评审频次：①公司组织机构、服务范围、资源配置发生重大变化时；②发生重大信息安全事故或关于信息安全有严重投诉或投诉连续发生时；③当法律、法规、标准及其他要求有变化时；④市场需求发生重大变化时；⑤即将进行第二、三方审核时；⑥审核中发现严重不合格时。

4.2 管理评审的准备4.2.1《管理评审计划》管理评审实施计划由主管体系建设部门组织制定。

XXXXXXXXX有限责任公司第三方服务管理程序[XXXX-B-34]V1.0变更履历1 目的为加强对第三方服务提供商（合作商）的控制，减少安全风险，防范公司信息资产损失，特制定本程序。

2 范围适用于组织信息安全第三方服务管理活动,包括第三方确定过程、第三方的服务安全控制措施、第三方的服务监督和评审方法、第三方的变更管理。

3 职责3.1 综合部a)负责统一管理第三方服务的控制活动。

b)负责定期对第三方服务商进行监督和评审；3.2 采购部a)负责确定合格的第三方服务商，并与第三方服务商签订服务合同和保密协议；b)负责做好第三方服务商的变更管理。

3.3 技术部a)负责第三方信息处理设备、网络、系统、软件的采购申请和基本维护；b)负责对第三方服务商的服务进行安全控制；4 相关文件《信息安全管理手册》《相关方信息安全管理程序》《安全区域管理程序》《信息系统访问与使用监控管理程序》5 程序5.1 第三方服务的确定本组织所需的第三方服务包括：a)采购的物资需要委托第三方进行监造；b)技术开发项目需要分包；c)信息处理设备、网络、系统、软件需要第三方进行开发和维护；d)信息安全等需要委托第三方提供服务；e)其他服务提供方。

在与第三方签署服务合同前，相关的主管部门应明确第三方服务的内容和要求，评估由于第三方服务带来的信息安全风险，并对第三方提供服务的能力进行评定，应确保第三方有充分的提供服务的能力，并且具备有效的工作计划，即便发生重大的服务故障或灾难也能保持服务的连贯性，必要时可以通过招投标，确定合格的第三方服务提供商。

对重要的第三方服务提供商，应确定其信息安全管理要求和提供服务的能力要求，制定《第三方信息安全核查计划》和《第三方信息安全核查表》并进行现场评定。

确定合格的第三方服务提供商后，相关主管部门应与第三方签署第三方服务合同(SLA)，并在服务合同中体现信息安全风险金。

如果服务中涉及需要第三方保密的信息，必须明确第三方的责任，并签订《第三方服务保密协议》。

XXXXXXXXX有限责任公司信息安全符合性管理程序[XXXX-B-40]V1.0变更履历1 目的为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责3.1 综合部负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件《信息安全管理手册》《文件控制程序》5 程序5.1 法律、法规和其他要求的分类a)国际性信息安全管理法律、法规和其他要求；b)国家信息安全管理法律法规及标准规范；c)地方和行业性信息安全管理规章及标准规范；d)客户与相关方的信息安全要求。

5.2 法律、法规和其他要求的获取、识别综合部从政府主管部门或相关权威部门获取相关的国家及地方最新信息安全法律法规及其他要求，并通过政府机构、行业协会、出版机构、图书馆、报刊杂志、书店、相关方等渠道进行补充。

客户与相关方信息安全要求，由相关专业部门依据专业工作情况由信息员负责采集并报综合部统一管理。

综合部组织各部门对收集到的法律法规和其他要求逐一进行识别，确定出适合本组织的法律法规及其他要求,编制《信息安全法律法规及要求清单》，识别工作一般一年不少于一次。

5.3 法律、法规和其他要求的文本管理综合部获取信息安全管理法律、法规和其他要求文本后，应补充到《信息安全法律法规及要求清单》中。

相关部门获取信息安全管理法律、法规和其他要求文本后，应及时将获取的信息安全管理法律、法规和其他要求文本或信息向综合部进行反馈，由综合部补充到《信息安全法律法规及要求清单》。

综合部负责取得法律法规文本，获得途径可直接从网络下载，并保存为电子档。

ISO27001：2013信息安全风险管理程序XXXXXXXXX有限责任公司信息安全风险管理程序[XXXX-B-01]V1.0变更履历1 目的为了在考虑控制成本与风险平衡的前提下选择合适的控制目标和控制方式，将信息安全风险控制在可接受的水平，特制定本程序。

2 范围本程序适用信息安全管理体系(ISMS)范围内信息安全风险评估活动的管理。

3 职责3.1 综合部负责牵头成立风险评估小组。

3.2 风险评估小组负责编制《信息安全风险评估计划》，确认评估结果，形成《信息安全风险评估报告》。

3.3 各部门负责本部门使用或管理的资产的识别和风险评估，并负责本部门所涉及的资产的具体安全控制工作。

4 相关文件《信息安全管理手册》《商业秘密管理程序》5 程序5.1 风险评估前准备5.1.1 成立风险评估小组综合部牵头成立风险评估小组，小组成员应包含信息安全重要责任部门的成员。

5.1.2 制定计划风险评估小组制定《信息安全风险评估计划》,下发各部门。

5.2 资产赋值5.2.1 部门赋值各部门风险评估小组成员识别本部门资产，并进行资产赋值。

5.2.2 赋值计算资产赋值的过程是对资产在保密性、完整性、可用性和法律法规合同上的达成程度进行分析，并在此基础上得出综合结果的过程。

5.2.3 保密性(C)赋值根据资产在保密性上的不同要求，将其分为五个不同的等级，分别对应资产在保密性上的应达成的不同程度或者保密性缺失时对整个组织的影响。

保密性分类赋值方法5.2.4 完整性(I)赋值根据资产在完整性上的不同要求，将其分为五个不同的等级，分别对应资产在完整性上的达成的不同程度或者完整性缺失时对整个组织的影响。

完整性(I)赋值的方法。

xx电子商务技术有限公司版本：A
管理评审控制程序
JSWLS/IP-04-2009
编制：xx
审核：xx
批准：xx
程序文件修改控制
管理评审控制程序
1 目的
按计划的时间间隔评审公司信息安全管理体系，以确保其持续的适宜性、充分性和有效性。

2 范围
本程序适用于公司信息安全管理体系的评审。

3 职责
3.1总经理主持管理评审活动，批准“管理评审报告”。

3.2管理者代表
3.2.1负责向总经理报告信息安全管理体系运行情况，提出改进建议。

3.2.2审核“管理评审计划”，编写“管理评审报告”。

3.2.3负责对评审后的纠正、预防措施进行跟踪和验证。

3.3营销中心
3.3.1负责“管理评审计划”的拟定。

3.3.2收集、提供和保管管理评审所需资料。

3.4各部门
3.4.1负责提供与本部门有关的评审所需的资料；
3.4.2负责实施管理评审中提出的相关的纠正、预防措施。

4 相关文件。

XXXXXXXXX有限责任公司文件控制程序[XXXX-B-02]Ver 1.0文件控制程序变更履历1 目的为了对信息安全管理文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程的实施有效控制，特制定本程序。

2 范围本程序适用于文件管理。

3 职责3.1 总经理负责批准信息安全管理文件的制订、修订计划，负责批准《信息安全管理手册》（含信息安全方针）和《信息安全适用性声明》。

3.2 综合部负责人负责审定信息安全管理文件，负责批准信息安全程序文件和作业文件。

3.3 综合部a)负责信息安全管理文件的归口管理。

b)负责组织信息安全管理文件的制订、修订和评审等管理工作。

c)负责信息安全管理文件的标识、作废、回收等日常工作。

4 相关文件《信息安全管理手册》《信息安全适用性声明》《商业秘密管理程序》《信息安全法律法规管理程序》5 程序5.1 管理内容与要求5.1.1 文件分类信息安全管理文件：a)《信息安全管理手册》（含信息安全方针、方针文件、目标文件、信息安全适用性声明）；b)信息安全管理程序文件；c)信息安全管理作业文件；d)策划的管理方案、信息安全管理记录表格。

其他文件：a)信息安全法律法规及其他文件；b)生产、经营、管理、检查与考核记录；c)往来文件。

5.2 文件编制和修订5.2.1 要求信息安全管理文件编制和修订前，编制人员充分了解相关方的要求和信息，广泛收集有关的文件和资料。

作为文件编写的依据，应重点考虑以下几个方面：a)相关的法律法规要求，国家标准、行业标准、地方标准的要求，尤其是强制性标准的要求，上级主管部门颁发的标准、规章、规定等。

b)对客户和其他相关方的合同和承诺，客户与其他相关方的需求和期望方面的信息。

c)国内外同行先进水平和发展方向的信息。

d)本组织现有的有关文件，领导的意图和要求。

e)内容应与组织的实际情况相适应，并保证文件在现有的资源条件下，能得到有效实施。

5.2.2 文件编制部门a)信息安全管理文件由综合部组织，相关职能部门参与进行编制。

XXX科技有限公司
信息安全法律法规管理程序
编号：ISMS-B-10
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保组织信息安全活动符合信息安全管理法律法规的要求，确保所应用的信息安全管理法律法规和其他要求的适用性，特制定本程序。

2 范围
本程序适用于组织信息安全管理所涉及的相关法律、法规和其他要求的控制管理。

3 职责
3.1 综合管理部
负责收集法律法规和其他要求，组织相关部门对法律法规和其他要求的适宜性和合规性进行评审。

3.2 各部门
负责对本部门的信息安全相关法律法规及其他要求的适宜性的识别、评审、更新，并负责将信息安全相关的法律法规及其他要求文件传达给员工遵照执行。

4 引用文件
《信息安全管理手册》
《文件控制程序》
5 程序
5.1 法律、法规和其他要求的分类
a)国际性信息安全管理法律、法规和其他要求；
b)国家信息安全管理法律法规及标准规范；
c)地方和行业性信息安全管理规章及标准规范；
d)客户与相关方的信息安全要求。

5.2 法律、法规和其他要求的获取、识别。

XXX科技有限公司
管理评审程序
编号：ISMS-B-07
版本号：V1.0
编制：日期：
审核：日期：
批准：日期：
受控状态
1 目的
为确保组织信息安全管理体系持续的适宜性、充分性和有效性，评估组织信息安全管理体系改进和变更的需要，特制定本程序。

2 范围
本程序适用于对信息安全管理体系中要求进行的管理评审的实施程序的管理。

3 职责
3.1 总经理
主持信息安全管理体系管理评审。

3.2 综合管理部
负责信息安全管理体系管理评审的归口管理。

4 相关文件
《信息安全管理手册》
《文件控制程序》
《记录控制程序》
5 程序
5.1 管理评审策划
5.1.1 管理评审的频次
5.1.1.1 定期
管理评审由总经理主持，通常每年进行一次，一般在内部审核后进行。

文件控制程序目录1.目的和范围 (2)2.引用文件 (2)3.职责和权限 (2)4.管理内容及控制要求 (2)4.1文件的分类 (2)4.2文件编制 (3)4.3文件标识 (3)4.4文件的发放 (4)4.5文件的控制 (4)4.6文件的更改 (5)4.6.1文件更改申请 (5)4.6.2文件更改的审批或评审 (5)4.6.3文件更改的实施 (5)4.6.4版本控制 (5)4.7文件的评审 (6)4.8文件的作废 (6)4.9外来文件的管理 (6)4.10文件的归档 (6)5.相关记录 (6)1.目的和范围为了有效控制信息安全管理体系文件，对文件的编制、审核、批准、标识、发放、管理、使用、评审、更改、修订、作废等过程实施有效控制，确保部门使用现行的有效版本，特制订本制度。

本制度适用于信息安全管理体系文件的管理。

2. 引用文件1)《合规性实施制度》2)《信息资产分类分级管理制度》3.职责和权限1)总经办是信息安全管理体系文件的归口部门，负责信息安全有关的所有文件的管理与控制。

2)各部门：负责本部门信息安全管理文件的管理与控制。

4.管理内容及控制要求4.1文件的分类信息安全管理体系文件主要包括：1)第一层：信息安全管理手册、信息安全目标、信息安全适用性声明（SOA）、信息安全策略；2)第二层：制度文件；3)第三层：各管理规定、管理办法、流程、作业指导书（指南）及外来文件等；4)第四层：记录、表单。

记录控制执行《记录控制制度》。

4.2文件编制文件编制要有充分的依据，体现系统协调，可操作、可检查的原则。

1)第一层：信息安全管理手册由体系负责人组织编写，信息安全管理者代表审核，总经理批准发布。

2)第二、三层：由相关责任部门编写，信息安全管理者代表审核，总经理批准发布。

3)第四层：由相关责任部门编写，文档负责人审批，信息安全管理者代表批准发布。

4.3文件标识所有文件必须有明确的标识，包括：文件的名称、编号、版本号、密级标识等。