iso27001认证的管理评审,是企业最高管理者根据组织的战略方向开展的活动。企业按策划的时机开展管理评审,并不要求一次解决所有的输入和问题,但策划应体现如何满足ISO27001管理评审的要求。组织可将管理评审作为单独的活动来开展,也可与相关的活动一起开展。管理评审的时机可以和其他业务活动协调安排,以增加价值、避免管理层冗余参会或重复参会。
一、iso27001认证的管理评审的特性
管理评审的目的是要确保质量管理体系持续的适宜性、充分性和有效性。管理评审的对象是组织的质量管理体系(包括质量方针和质量目标)。管理评审的评审依据是顾客的期望和要求。管理评审的实施者是最高管理者和管理层人员。管理评审的评审依据以质量方针、目标及顾客需求,对质量管理体系的适宜性、充分性和有效性进行评价。管理评审应对质量管理体系的持续的适宜性,充分性和有效性,体系的变更、过程和产品的改进,资源的需求,包括质量方针和目标作出评价,并形成记录。
二、iso27001认证的管理评审输入的内容
信息安全管理体系认证工作进行管理评审时,其输入应包含下列内容:
1、ISMS审核和评审的结果
2、相关方的反馈
3、组织用于改进ISMS执行情况和有效性的技术、产品或程序
4、预防和纠正措施的实施状况
5、以往风险评估没有充分强调的威胁或脆弱性
6、风险评估方法和风险评估报告
7、残余风险和已确定的可接受的风险级别
8、有效性测量的结果
9、可能影响ISMS的任何变更,包括组织结构、技术、业务目标和过程、已识别的威胁、已实施控制措施的有效性以及以外部事件等方面的变更。
三、iso27001认证体系管理评审的内容
管理评审内容包括:
1、信息安全工作是否符合信息安全方针
2、信息安全工作存在的问题、改进措施及其预期效果
3、信息安全目标的达成程度,如:是否满足市场和顾客的需求
4、评估ISMS变更的需要
评审会议应有记录,由信息安全部进行记录和管理。在管理评审记录中要标识负责人和完成期限。
四、iso27001认证的管理评审输入的内容
对信息安全管理体系认证工作进行管理评审时,其输入应包含下列内容:
1、ISMS审核和评审的结果
2、相关方的反馈
3、组织用于改进ISMS执行情况和有效性的技术、产品或程序
4、预防和纠正措施的实施状况
5、以往风险评估没有充分强调的威胁或脆弱性
6、风险评估方法和风险评估报告
7、残余风险和已确定的可接受的风险级别
8、有效性测量的结果
9、可能影响ISMS的任何变更,包括组织结构、技术、业务目标和过程、已识别的威胁、已实施控制措施的有效性以及以外部事件等方面的变更。
五、信息安全管理评审报告的内容
信息安全部将评审记录整理出评审报告,报告内容应包括以下方面的任何决定和措施:
1、信息安全管理体系及其过程有效性的改进
2、风险评估和风险处理计划的更新
3、与顾客要求有关的服务提供的改进
4、资源需求
5、正在被测量的控制措施有效性的改进
六、信息安全管理体系认证管理评审计划
每年年初,iso27001认证体系信息安全总负责人应根据组织的信息安全工作情况制定管理评审计划,报经营责任者批准后实施。
管理评审计划主要包含以下内容:
1、评审的目的
2、评审内容
3、评审的准备工作要求
4、参加人员
5、评审时间安排等
七、iso27001认证体系管理评审的参加者
ISMS管理评审的参加人员如下所示,若因为某种原因参加不了的,在得到总经理的许可后,可指派代理出席。
1)总经理
2)信息安全负责人
3)信息安全部人员
4)信息安全部门负责人
5)信息安全员
6)ISMS审核组成员
7)其他经营责任者认为需要参加的人员
八、信息安全负责人在管理评审中的职责
1、负责制定信息安全管理评审计划
2、负责作出信息安全管理体系的运行状况报告
3、负责汇报以往信息安全管理评审所确定措施的实施情况及有效性
4、负责作出信息安全管理评审报告
九、ISO27000系统的管理评审流程
(1)编制评审计划信息安全主管部门拟定体系评审计划,提交给最高管理者批准之后,提前通知参加评审人员。
(2)准备评审资料信息安全主管部门组织有关部门按照评审计划的要求准备体系评审输入所要求的各方面评审资料,评审资料应尽可能充分、全面。
(3)召开评审会议最高管理者主持管理评审会议,评审会议应采用开放的形式,充分听取与体系有关的各方面的意见与建议,由信息安全主管部门记录评审会议结果并编制评审报告。
(4)评审报告分发与保存评审报告经最高管理者批准后,分发给参加评审的人员和相关部门。评审记录及报告由主管部门按照规定的保存期限予以保存并归档。
(5)评审后要求对于评审报告中有关决议和措施要求(包括预防/纠正措施),责任部门应在规定的时间内予以实施,信息安全主管部门应对实施的结果进行验证。
,
