F4-B-總經(jīng)辦-004-V1.0-管理評(píng)審控制制度

【管理評(píng)審控制制度】F4-B-總經(jīng)辦-004-V1.0第頁管理評(píng)審控制制度目錄TOC\o"1-3"\h\z1. 目的和范圍 22. 引用文件 23. 職責(zé)和權(quán)限 24. 活動(dòng)描述 34.1.管理評(píng)審周期 34.2.管理評(píng)審內(nèi)容 34.3.管理評(píng)審計(jì)劃 44.4.評(píng)審實(shí)施 55. 持續(xù)改進(jìn) 66. 相關(guān)記錄 6

目的和范圍為了確?，F(xiàn)行信息安全管理體系的適宜性、充分性和有效性；現(xiàn)行信息安全管理體系持續(xù)有效地滿足標(biāo)準(zhǔn)的要求；公司的信息安全方針和目標(biāo)適應(yīng)自身發(fā)展的需要，對(duì)信息安全管理體系進(jìn)行評(píng)審，特制定本制度。本制度適用于信息安全管理體系管理評(píng)審過程。引用文件下列文件中的條款通過本規(guī)定的引用而成為本規(guī)定的條款。凡是注日期的引用文件，其隨后所有的修改單（不包括勘誤的內(nèi)容）或修訂版均不適用于本標(biāo)準(zhǔn)，然而，鼓勵(lì)各部門研究是否可使用這些文件的最新版本。凡是不注日期的引用文件，其最新版本適用于本標(biāo)準(zhǔn)。GB/T22080-2016/ISO/IEC27001:2013信息技術(shù)-安全技術(shù)-信息安全管理體系要求GB/T22081-2016/ISO/IEC27002:2013信息技術(shù)-安全技術(shù)-信息安全管理實(shí)施細(xì)則《糾正和預(yù)防措施控制制度》《文件控制制度》職責(zé)和權(quán)限信息安全管理領(lǐng)導(dǎo)小組：負(fù)責(zé)對(duì)信息安全管理體系進(jìn)行管理評(píng)審，對(duì)體系的變更和修改進(jìn)行決策。體系負(fù)責(zé)人：負(fù)責(zé)組織召開管理評(píng)審會(huì)議，并向信息安全管理領(lǐng)導(dǎo)小組匯報(bào)信息安全管理體系的運(yùn)行情況。信息安全工作小組：負(fù)責(zé)管理評(píng)審材料的收集,并根據(jù)管理評(píng)審的決定，組織進(jìn)行跟蹤、驗(yàn)證實(shí)施效果。行政部:負(fù)責(zé)管理評(píng)審相關(guān)材料的備案。各部門：負(fù)責(zé)本部門提供評(píng)審材料?；顒?dòng)描述管理評(píng)審周期公司按年度召開信息安全管理體系的管理評(píng)審會(huì)議，會(huì)議一般在內(nèi)審及第三方審核之后召開，會(huì)議對(duì)前一年信息安全情況做出評(píng)審，評(píng)審結(jié)果作為下一年信息安全計(jì)劃的輸入。當(dāng)發(fā)生下列情況時(shí)，信息安全管理領(lǐng)導(dǎo)小組可以臨時(shí)決定增加管理評(píng)審。組織結(jié)構(gòu)、資源配置發(fā)生重大變化；業(yè)務(wù)目標(biāo)或業(yè)務(wù)運(yùn)作流程發(fā)生重大變化；信息安全法律、法規(guī)發(fā)生重大變化；發(fā)生重大信息安全事件；風(fēng)險(xiǎn)等級(jí)的劃分和風(fēng)險(xiǎn)可接受水平發(fā)生變化；其他不可預(yù)見情況需要時(shí)。管理評(píng)審內(nèi)容信息安全工作小組根據(jù)評(píng)審內(nèi)容進(jìn)行內(nèi)容收集工作，準(zhǔn)備好評(píng)審必需的文件、資料等信息，并報(bào)體系負(fù)責(zé)人。各部門根據(jù)體系運(yùn)行的情況形成《部門管理評(píng)審輸入報(bào)告》做為評(píng)審會(huì)議的輸入。年度報(bào)告及管理評(píng)審內(nèi)容應(yīng)包括：信息安全管理體系相關(guān)文件變化；方針、目標(biāo)完成情況及有效性測(cè)量結(jié)果；風(fēng)險(xiǎn)評(píng)估報(bào)告；內(nèi)部和外部信息安全管理體系審核結(jié)果；糾正措施、預(yù)防措施實(shí)施報(bào)告；顧客等相關(guān)方反饋；實(shí)際運(yùn)行的符合性；事故統(tǒng)計(jì)及分析報(bào)告；以往管理評(píng)審決定實(shí)施情況；可能影響信息安全管理體系的內(nèi)外部環(huán)境的變化；改進(jìn)的建議。管理評(píng)審計(jì)劃信息安全體系負(fù)責(zé)人負(fù)責(zé)在管理評(píng)審實(shí)施前編制《管理評(píng)審計(jì)劃》，并得到信息安全管理領(lǐng)導(dǎo)小組的批準(zhǔn)。管理評(píng)審計(jì)劃主要內(nèi)容包括：評(píng)審范圍、內(nèi)容及時(shí)間安排；參加評(píng)審的單位和人員；評(píng)審會(huì)議議程。評(píng)審實(shí)施信息安全管理體系負(fù)責(zé)人負(fù)責(zé)主持管理評(píng)審活動(dòng)。評(píng)審：與會(huì)人員在“會(huì)議簽到表”上簽字后，由體系負(fù)責(zé)人主持并介紹體系運(yùn)行情況和內(nèi)審情況：內(nèi)審的充分性、有效性，內(nèi)部審核關(guān)于信息安全管理體系的符合性、有效性的結(jié)論；信息安全管理體系文件的充分性和適宜性；事故事件情況；對(duì)重大危害因素和重要環(huán)境因素的控制情況；目標(biāo)、指標(biāo)和管理方案的實(shí)現(xiàn)情況；信息安全方針的適宜性；整個(gè)信息安全管理體系的符合性、有效性和適宜性；持續(xù)改進(jìn)的意見。信息安全管理領(lǐng)導(dǎo)小組對(duì)所匯報(bào)的內(nèi)容進(jìn)行評(píng)審并做出改進(jìn)決定，并對(duì)評(píng)審結(jié)果及決策進(jìn)行記錄。管理評(píng)審的輸出應(yīng)包括為實(shí)現(xiàn)持續(xù)改進(jìn)的承諾而做出的，與信息安全方針、目標(biāo)、指標(biāo)以及其他信息安全管理體系要素的修改有關(guān)的決策和行動(dòng)。如：信息安全管理體系有效性的改進(jìn)；與顧客要求有關(guān)的服務(wù)的改進(jìn)；資源需求等。持續(xù)改進(jìn)評(píng)審結(jié)束后，根據(jù)評(píng)審結(jié)論和決定，信息安全工作小組負(fù)責(zé)向有關(guān)單位下達(dá)“不符合糾正預(yù)防通知單”（參見《糾正和預(yù)防措施控制制度》），并對(duì)改進(jìn)、糾正、糾正措施和預(yù)防措施的實(shí)施效果進(jìn)行跟蹤驗(yàn)證。各相關(guān)單位制定并實(shí)施相應(yīng)的改進(jìn)措施，及時(shí)完善信息安全管理體系，實(shí)現(xiàn)持續(xù)改進(jìn)，不斷提高信息安全管理水平。不符合、糾正措施的實(shí)施按《糾正和預(yù)防措施控制制度》執(zhí)行。管理評(píng)審產(chǎn)生的相關(guān)記錄和資料由信息安全工作小組負(fù)責(zé)收集、匯總和保存，具體按《記錄控制制度》執(zhí)行。相關(guān)記錄序號(hào)報(bào)告/記錄名稱保管場(chǎng)所期限保存形式備注1管理評(píng)審計(jì)劃總經(jīng)辦3年電子/紙質(zhì)2各部門管理評(píng)審輸入報(bào)告總經(jīng)辦3年電子/紙質(zhì)3會(huì)議簽到表總經(jīng)辦3年電子/紙質(zhì)4管理評(píng)審報(bào)告總經(jīng)辦3年電子/紙質(zhì)本制度相關(guān)修改及解釋權(quán)屬于信息安全組織文檔編號(hào)（由總經(jīng)辦填寫）F4-B-總經(jīng)辦-004-V1.0密級(jí)內(nèi)部公開文檔發(fā)布級(jí)別公司級(jí)文檔發(fā)布及實(shí)行范圍全員制度試行日期（可選）制度執(zhí)行日期2017/07/01文檔起草