ISMS-02-06-V1.0 信息安全管理评审规定

信息安全管理评审规定

第一章 总则

第一条 目的

为规范对思度安全运营中心信息安全体系的适宜性、充分性、有效性进行评审，使思度安全运营中心信息安全管理体系不断地完善并持续有效运行，满足思度安全运营中心信息安全方针要求，实现思度安全运营中心信息安全管理目标，特制定本规定。

第二条 适用范围

本规定适用于思度安全运营中心职责范围内的信息安全体系适宜性、充分性和有效性进行的审核和评价。

第二章 术语和定义

本规定采用GB/T22080-2016/ISO/IEC27001:2013、GB/T22081-2016/ISO/IEC27002:2013的定义和缩写，本规定中需补充说明的定义和缩写如下：

第三条 管理评审

最高管理者应按策划的时间间隔评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和目标。

第三章 组织与职责

第四条 指挥小组

思度安全运营中心信息安全工作指挥小组负责对信息安全体系进行管理评审、作出相应的管理评审决策。

第五条 风险管理组

思度安全运营中心风险管理组负责本规定的制定、解释和修改、组织管理评审、制定管理评审计划、有效性测量结果的审核。

第六条 各部门安全组

各部门安全组负责本部门的管理评审相关工作的检查与审核；

第七条 各部门负责人

各部门负责讨论、提供、审核管理评审的输入、参加管理评审、管理评审发现问题的整改、提供体系运行状况报告、收集相关方的反馈、有效性度量结果的收集。

第四章 管理评审规定

第八条 每年评审

思度安全运营中心信息安全管理体系管理评审每年一次，风险评估和处置、体系度量和内部审核等活动应安排在管理评审之前完成。如遇重大信息安全问题、思度安全运营中心组织架构变更、思度安全运营中心业务发生重大调整、信息技术的重大变革、威胁源显著变化等情况，也应酌情举行管理评审。

第九条 评审内容

（一） 体系建立前或体系上次修订前的综合情况。 （二） 体系运行、修订后的变化，包括体系运行效果。 （三） 信息安全方针、目标是否适应外部市场及内部环境的变化，实现情况如何，是否需要调整和修订。 （四） 信息安全管理体系文件是否满足实际需要，是否需要修订。 （五） 组织结构、资源（人员、技术、设备等）是否满足信息安全管理体系有效运行的需要，是否需要调整和增加资源投入。 （六） 各项活动是否受控，是否需要改进。

第十条 评审输入

信息安全管理体系管理评审输入包括但不限于： （一） ISMS审核和评审的结果； （二） 相关方的反馈； （三） 体系实施过程中的文件修订； （四） 用于改进组织ISMS绩效和有效性的方法、产品或者流程制度； （五） 纠正和预防措施的实施情况； （六） 上次风险评估中没有发现的弱点和威胁； （七） 有效性测量的结果； （八） 上次管理评审所采取措施的跟踪验证； （九） 任何可能影响ISMS的变化，可能包括： 1. 业务要求； 2. 安全要求； 3. 影响现有业务要求的业务过程； 4. 法律法规要求； 5. 合同责任； 6. 风险评估方法或风险接受标准； 7. 资源需求； 8. 改进测量控制措施有效性的方法。

第十一条 评审实施

（一） 思度安全运营中心风险管理组根据思度安全运营中心信息安全工作指挥小组要求，负责筹划管理评审并编制管理评审计划，在评审前向参加评审的部门或人员下发管理评审计划，要求做好相应准备。 （二） 由思度安全运营中心信息安全工作指挥小组组长主持召开管理评审会议，并按管理评审计划中所列内容逐项审议。 （三） 各部门按评审计划内容进行汇报和提交有关资料。 （四） 思度安全运营中心信息安全工作指挥小组根据评审情况做出相应评定结论，包括：对影响信息安全方针、目标及信息安全管理体系适宜性和有效性的问题，提出明确的改进要求；对所有活动所需资源予以确认与保证。 （五） 思度安全运营中心风险管理组负责记录评审过程的会议纪要并归档。

第十二条 评审总结

管理评审的输出应包括但不限于以下决定和措施： （一） ISMS有效性的改进； （二） 更新风险评估和风险处置计划； （三） 必要时，修订影响信息安全的规定和控制措施，以反映可能影响ISMS的内外事件。

第十三条 措施改进

评审结果涉及到的需要采取改进/预防措施的部门，由各部门负责人制定改进/预防措施，在评审报告明确规定的期限内落实改进/预防措施。相关管理部门负责对实施效果进行验证。

第五章 附则

本规定由思度安全运营中心负责制定、解释和修改。 本规定自印发之日起实行。