iso27001認證的管理評審,是企業最高管理者根據組織的戰略方向開展的活動。企業按策劃的時機開展管理評審,並不要求一次解決所有的輸入和問題,但策劃應體現如何滿足ISO27001管理評審的要求。組織可將管理評審作為單獨的活動來開展,也可與相關的活動一起開展。管理評審的時機可以和其他業務活動協調安排,以增加價值、避免管理層冗餘參會或重複參會。
一、iso27001認證的管理評審的特性
管理評審的目的是要確保質量管理體系持續的適宜性、充分性和有效性。管理評審的對象是組織的質量管理體系(包括質量方針和質量目標)。管理評審的評審依據是顧客的期望和要求。管理評審的實施者是最高管理者和管理層人員。管理評審的評審依據以質量方針、目標及顧客需求,對質量管理體系的適宜性、充分性和有效性進行評價。管理評審應對質量管理體系的持續的適宜性,充分性和有效性,體系的變更、過程和產品的改進,資源的需求,包括質量方針和目標作出評價,並形成記錄。
二、iso27001認證的管理評審輸入的內容
信息安全管理體系認證工作進行管理評審時,其輸入應包含下列內容:
1、ISMS審核和評審的結果
2、相關方的反饋
3、組織用於改進ISMS執行情況和有效性的技術、產品或程序
4、預防和糾正措施的實施狀況
5、以往風險評估沒有充分強調的威脅或脆弱性
6、風險評估方法和風險評估報告
7、殘餘風險和已確定的可接受的風險級別
8、有效性測量的結果
9、可能影響ISMS的任何變更,包括組織結構、技術、業務目標和過程、已識別的威脅、已實施控制措施的有效性以及以外部事件等方面的變更。
三、iso27001認證體系管理評審的內容
管理評審內容包括:
1、信息安全工作是否符合信息安全方針
2、信息安全工作存在的問題、改進措施及其預期效果
3、信息安全目標的達成程度,如:是否滿足市場和顧客的需求
4、評估ISMS變更的需要
評審會議應有記錄,由信息安全部進行記錄和管理。在管理評審記錄中要標識負責人和完成期限。
四、iso27001認證的管理評審輸入的內容
對信息安全管理體系認證工作進行管理評審時,其輸入應包含下列內容:
五、信息安全管理評審報告的內容
信息安全部將評審記錄整理出評審報告,報告內容應包括以下方面的任何決定和措施:
1、信息安全管理體系及其過程有效性的改進
2、風險評估和風險處理計劃的更新
3、與顧客要求有關的服務提供的改進
4、資源需求
5、正在被測量的控制措施有效性的改進
六、信息安全管理體系認證管理評審計劃
每年年初,iso27001認證體系信息安全總負責人應根據組織的信息安全工作情況制定管理評審計劃,報經營責任者批准後實施。
管理評審計劃主要包含以下內容:
1、評審的目的
2、評審內容
3、評審的準備工作要求
4、參加人員
5、評審時間安排等
七、iso27001認證體系管理評審的參加者
ISMS管理評審的參加人員如下所示,若因為某種原因參加不了的,在得到總經理的許可後,可指派代理出席。
1)總經理
2)信息安全負責人
3)信息安全部人員
4)信息安全部門負責人
5)信息安全員
6)ISMS審核組成員
7)其他經營責任者認為需要參加的人員
八、信息安全負責人在管理評審中的職責
1、負責制定信息安全管理評審計劃
2、負責作出信息安全管理體系的運行狀況報告
3、負責匯報以往信息安全管理評審所確定措施的實施情況及有效性
4、負責作出信息安全管理評審報告
九、ISO27000系統的管理評審流程
(1)編制評審計劃信息安全主管部門擬定體系評審計劃,提交給最高管理者批准之後,提前通知參加評審人員。
(2)準備評審資料信息安全主管部門組織有關部門按照評審計劃的要求準備體系評審輸入所要求的各方面評審資料,評審資料應儘可能充分、全面。
(3)召開評審會議最高管理者主持管理評審會議,評審會議應採用開放的形式,充分聽取與體系有關的各方面的意見與建議,由信息安全主管部門記錄評審會議結果並編制評審報告。
(4)評審報告分發與保存評審報告經最高管理者批准後,分發給參加評審的人員和相關部門。評審記錄及報告由主管部門按照規定的保存期限予以保存並歸檔。
(5)評審後要求對於評審報告中有關決議和措施要求(包括預防/糾正措施),責任部門應在規定的時間內予以實施,信息安全主管部門應對實施的結果進行驗證。