管理评审 PPT课件
合集下载
相关主题
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
有关部门做好评审的准备工作。管理评审一般在信息 安全管理审核以后进行。
8
3 管理评审的实施步骤
• 3.1 制定管理评审计划 • 评审内容:
• ·分析信息安全管理的符合性:对内部信息安全管理审核结果的
分析,包括内部信息安全管理审核报告、纠正措施实施情况、 内部信息安全管理审核工作的效果等。对信息安全管理等文件 的分析,包括修改情况分析、补充情况分析、实施情况分析等。
评审信息安全管理体系,以确保其持续的适宜性、充 分性和有效性,评审应评价组织信息安全管理体系变 化的需要,包括信息安全方针和信息安全目标”。
• ISO27001要求,“信息安全的执行管理层须按照预定
的时间表和程序定期进行信息安全管理和测试和/或 校准活动的评审,以确保其持续适用性和有效性,并 进行必要的变更或改进”。
4
2 管理评审的概念
• 信息安全管理体系评审:最高管理者的任务之一是就
信息安全方针和信息安全目标,有规则地、系统地评 价信息安全管理体系的适宜性、充分性、有效性和效 率。这种评审可包括考虑修改信息安全方针和信息安 全目标的需求以响应相关方需求和期望的变化。评审 包括确定采取措施的需求。审核报告与其他信息源一 同用于信息安全管理体系的评审。
6
3 管理评审的实施步骤
一般情况下应定期进行管理评审,至少每12个月进行 一次。管理评审应按规定的程序进行,做到有步骤、 有计划地实施。通常可分为以下五步。 1 制定管理评审计划 2 管理评审的组织准备 3 管理评审的实施 4 管理评审报告 5 管理评审后的工作
7
3 管理评审的实施步骤
• 3.1 制定管理评审计划 • 管理评审计划一般应包括: • ---评审目的:管理评审通常是为了对信息安全管理达
·其他需要评审的事项:重要的纠正和预防措施是否适当,是否 有其他重要的纠正和预「防措施要批准,对体系的修改或补9充 是一否适当,是否有重要的修改或补充内容需要批准等。
3 管理评审的实施步骤
• 3.2
管理评审的组织准备
• 在管理评审的准备过程中应针对评审的内容进行实际
情况的调查了解,做到有的放矢。也可由有关责任部
• ·分析信息安全管理的有效性:包括结果信息安全情况,过程信
息安全情况,信息安全方针是否得到有效贯彻,信息安全目标 实现情况的分析,客户投诉是否减少或得到满意的解决,是否 针对客户投诉采取了有效的纠正和预防措施等。
• ·分析信息安全管理的适应性:对于出现的新情况来说,标准是
否更改,技术手段、组织机构、客户要求等是否发生变化;对 于出现的新需要来说,原来的体系是否有效,是否需要补充和 修改。
到现行信息安全目标的适应性做出评价,对信息安全 管理与内外在变化的适应性做出评价,修改信息安全 管理文件,使信息安全管理ຫໍສະໝຸດ Baidu有效地运行。明确了管 理评审的目的,管理评审工作就会更有实效。
• ---评审组成员:以ISMS的执行管理层为主,各部门的
管理人员和审核人员等组成评审组。
• ---评审时间:确定具体评审时间,发出通知,以便各
• 管理评审是在综合内部、外部各种信息的基础上,对
信息安全管理本身所做的一种评价活动,也就是说, 通过管理评审,可以得出现行的信息安全管理是否持 续适应内外在变化的要求、信息安全方针和信息安全 目标是否仍对各项信息安全活动具有指导性作用的结 论。
5
2 管理评审的概念
• 管理评审是在信息安全管理审核的基础上进行的。
型:
• 管理评审只有第一方。
• 1.5 结果不同
• 信息安全管理审核后的结果通常是:第一方是纠正不符合
项,使体系更有效运行;第二方是使顾客信任,企业增加
订单;第三方是使企业获得认证证书。
• 管理评审的结果通常是:改进信息安全管理,修订信息安
全手册和程序文件,提高信息安全管理水平和信息安全保
证能力。
2
评审的日的和要求;也可以将评审的项目和要求列成
表格,并按某一评审标准逐一评价;同时可以采取调
阅评审有关信息安全管理文件和记录、深人现场进行
必要的专题或专项核查、对必要的过程、结果和活动
的信息安全进行核查等方式来评审。评审后,应提交
有关评审情况、结论和建议的书面报告,以便执行管
(管理评审不仅要对信息安全管理有关要素进行审查, 而且要对信息安全管理是否完善和持续有效、能否达 到预定的信息安全目标、是否适应内外的各种变化进 行检查。)
• ISMS执行管理层对信息安全管理进行定期的或经常的
管理评审,有利于信息安全管理保持持续的有效和不 断改进,坚持管理评审制度是执行管理层信息安全意 识的表现之一,也是建立“活”的、动态的信息安全 管理的重要手段之一
门准备专题文件或资料。如可能的话,可预先将涉及
评审内容的有关文件或资料分-发给参加评审的人员,
以便他们有充分的时间准备意见。
10
3 管理评审的实施步骤
• 3.3
管理评审的实施
• 由执行管理层主持管理评审会议,同时各部门的负责
人和有关人员参加.对评审内容展开充分的讨论和评
价。可以通过集体讨论或专题研讨的评审方法,达到
• 管理评审的依据是受益者的需要和期望,通常在体系
审核的基础上进行。
1
1 管理评审与审核的区别
• 1.3 层次不同
• 信息安全管理审核控制信息安全活动及其结果符合方针目
标要求,属战术性控制;管理评审控制方针、目标本身的
正确性,属战略性控制。
• 1.4 类型不同
• 信息安全管理审核可分为第一方、第二方、第三方三种类
1 管理评审与审核的区别
• 1.6 执行者不同 • 信息安全管理审核由与被审核领域无直接责任的人员
参加;
• 管理评审由最高管理者亲自组织有关人员进行。 • 1.7 工作地点不同 • 信息安全管理审核是在工作现场完成;(现场) • 管理评审可能是在办公室内进行。(桌面)
3
2 管理评审的概念
• ISO27001也要求,“最高管理者应按计划的时间间隔
1 管理评审与审核的区别
• 1.1 目的不同 • 信息安全管理体系审核确定信息安全活动及其结果的
符合性和有效性;
• 管理评审就信息安全方针和目标对信息安全管理体系
的适宜性、充分性、有效性和效率进行规律系统的评 价。
• 1.2 依据不同 • 信息安全管理审核的依据是信息安全管理标准和信息
安全管理文件;
8
3 管理评审的实施步骤
• 3.1 制定管理评审计划 • 评审内容:
• ·分析信息安全管理的符合性:对内部信息安全管理审核结果的
分析,包括内部信息安全管理审核报告、纠正措施实施情况、 内部信息安全管理审核工作的效果等。对信息安全管理等文件 的分析,包括修改情况分析、补充情况分析、实施情况分析等。
评审信息安全管理体系,以确保其持续的适宜性、充 分性和有效性,评审应评价组织信息安全管理体系变 化的需要,包括信息安全方针和信息安全目标”。
• ISO27001要求,“信息安全的执行管理层须按照预定
的时间表和程序定期进行信息安全管理和测试和/或 校准活动的评审,以确保其持续适用性和有效性,并 进行必要的变更或改进”。
4
2 管理评审的概念
• 信息安全管理体系评审:最高管理者的任务之一是就
信息安全方针和信息安全目标,有规则地、系统地评 价信息安全管理体系的适宜性、充分性、有效性和效 率。这种评审可包括考虑修改信息安全方针和信息安 全目标的需求以响应相关方需求和期望的变化。评审 包括确定采取措施的需求。审核报告与其他信息源一 同用于信息安全管理体系的评审。
6
3 管理评审的实施步骤
一般情况下应定期进行管理评审,至少每12个月进行 一次。管理评审应按规定的程序进行,做到有步骤、 有计划地实施。通常可分为以下五步。 1 制定管理评审计划 2 管理评审的组织准备 3 管理评审的实施 4 管理评审报告 5 管理评审后的工作
7
3 管理评审的实施步骤
• 3.1 制定管理评审计划 • 管理评审计划一般应包括: • ---评审目的:管理评审通常是为了对信息安全管理达
·其他需要评审的事项:重要的纠正和预防措施是否适当,是否 有其他重要的纠正和预「防措施要批准,对体系的修改或补9充 是一否适当,是否有重要的修改或补充内容需要批准等。
3 管理评审的实施步骤
• 3.2
管理评审的组织准备
• 在管理评审的准备过程中应针对评审的内容进行实际
情况的调查了解,做到有的放矢。也可由有关责任部
• ·分析信息安全管理的有效性:包括结果信息安全情况,过程信
息安全情况,信息安全方针是否得到有效贯彻,信息安全目标 实现情况的分析,客户投诉是否减少或得到满意的解决,是否 针对客户投诉采取了有效的纠正和预防措施等。
• ·分析信息安全管理的适应性:对于出现的新情况来说,标准是
否更改,技术手段、组织机构、客户要求等是否发生变化;对 于出现的新需要来说,原来的体系是否有效,是否需要补充和 修改。
到现行信息安全目标的适应性做出评价,对信息安全 管理与内外在变化的适应性做出评价,修改信息安全 管理文件,使信息安全管理ຫໍສະໝຸດ Baidu有效地运行。明确了管 理评审的目的,管理评审工作就会更有实效。
• ---评审组成员:以ISMS的执行管理层为主,各部门的
管理人员和审核人员等组成评审组。
• ---评审时间:确定具体评审时间,发出通知,以便各
• 管理评审是在综合内部、外部各种信息的基础上,对
信息安全管理本身所做的一种评价活动,也就是说, 通过管理评审,可以得出现行的信息安全管理是否持 续适应内外在变化的要求、信息安全方针和信息安全 目标是否仍对各项信息安全活动具有指导性作用的结 论。
5
2 管理评审的概念
• 管理评审是在信息安全管理审核的基础上进行的。
型:
• 管理评审只有第一方。
• 1.5 结果不同
• 信息安全管理审核后的结果通常是:第一方是纠正不符合
项,使体系更有效运行;第二方是使顾客信任,企业增加
订单;第三方是使企业获得认证证书。
• 管理评审的结果通常是:改进信息安全管理,修订信息安
全手册和程序文件,提高信息安全管理水平和信息安全保
证能力。
2
评审的日的和要求;也可以将评审的项目和要求列成
表格,并按某一评审标准逐一评价;同时可以采取调
阅评审有关信息安全管理文件和记录、深人现场进行
必要的专题或专项核查、对必要的过程、结果和活动
的信息安全进行核查等方式来评审。评审后,应提交
有关评审情况、结论和建议的书面报告,以便执行管
(管理评审不仅要对信息安全管理有关要素进行审查, 而且要对信息安全管理是否完善和持续有效、能否达 到预定的信息安全目标、是否适应内外的各种变化进 行检查。)
• ISMS执行管理层对信息安全管理进行定期的或经常的
管理评审,有利于信息安全管理保持持续的有效和不 断改进,坚持管理评审制度是执行管理层信息安全意 识的表现之一,也是建立“活”的、动态的信息安全 管理的重要手段之一
门准备专题文件或资料。如可能的话,可预先将涉及
评审内容的有关文件或资料分-发给参加评审的人员,
以便他们有充分的时间准备意见。
10
3 管理评审的实施步骤
• 3.3
管理评审的实施
• 由执行管理层主持管理评审会议,同时各部门的负责
人和有关人员参加.对评审内容展开充分的讨论和评
价。可以通过集体讨论或专题研讨的评审方法,达到
• 管理评审的依据是受益者的需要和期望,通常在体系
审核的基础上进行。
1
1 管理评审与审核的区别
• 1.3 层次不同
• 信息安全管理审核控制信息安全活动及其结果符合方针目
标要求,属战术性控制;管理评审控制方针、目标本身的
正确性,属战略性控制。
• 1.4 类型不同
• 信息安全管理审核可分为第一方、第二方、第三方三种类
1 管理评审与审核的区别
• 1.6 执行者不同 • 信息安全管理审核由与被审核领域无直接责任的人员
参加;
• 管理评审由最高管理者亲自组织有关人员进行。 • 1.7 工作地点不同 • 信息安全管理审核是在工作现场完成;(现场) • 管理评审可能是在办公室内进行。(桌面)
3
2 管理评审的概念
• ISO27001也要求,“最高管理者应按计划的时间间隔
1 管理评审与审核的区别
• 1.1 目的不同 • 信息安全管理体系审核确定信息安全活动及其结果的
符合性和有效性;
• 管理评审就信息安全方针和目标对信息安全管理体系
的适宜性、充分性、有效性和效率进行规律系统的评 价。
• 1.2 依据不同 • 信息安全管理审核的依据是信息安全管理标准和信息
安全管理文件;