跳转至

ISMS-03-02-V1.0 信息安全管理评审实施细则

信息安全管理评审实施细则

第一章 总则

第一条 目的

为使思度安全运营中心信息安全管理体系的管理评审工作制度化、规范化,确保信息安全管理体系持续有效并不断改进,特制定本细则。

第二条 适用范围

本细则适用于思度安全运营中心对于信息安全管理体系的管理评审活动。

第二章 组织与职责

第三条 信息安全工作指挥小组

负责对信息安全管理体系进行管理评审,并作出相应的管理评审决策。

第四条 思度安全运营中心风险管理组

负责组织信息安全管理评审活动,制订信息安全管理评审计划和报告,组织、监督、跟踪相关部门对管理评审所发现问题的改进。

第五条 各部门安全组

负责本部门的信息安全管理评审的相关工作的监督与检查。

第六条 各部门

负责提供相关信息安全管理评审输入材料,并实施与本部门相关问题的改进。

第三章 信息安全管理评审的频次

第七条 年度评审

思度安全运营中心每年至少进行一次信息安全管理评审。

第八条 管理评审

出现以下情况时,可以依需要发起管理评审,增加评审频次: (一) 外部审核前; (二) 外部环境出现重大变化; (三) 思度安全运营中心组织架构出现较大调整; (四) 重大信息安全事件的发生; (五) 信息技术的重大变革; (六) 威胁源发生显著变化。

第四章 信息安全管理评审的内容

第九条 评审重点

信息安全管理评审应关注以下重点内容: (一) 以往信息安全管理评审所提出问题的跟踪、改进情况; (二) 信息安全管理体系内部审核或外部审核结果,重点关注其中发现的问题、问题处理和改进情况,各项规定是否需要修订等; (三) 信息安全策略文件的执行结果,重点关注实际运行与策略文件要求的符合性,各项要求是否受控、是否需要改进或优化; (四) 重大信息安全事件的处理和改进情况; (五) 可能会影响信息安全管理体系的变化,如信息安全方针和目标的修订,组织机构的调整,资源是否满足信息安全管理体系的要求等; (六) 针对各部门、行内协作方、第三方等人员进行的信息安全管理体系满意度调查的情况; (七) 管理层关注的重点; (八) 其他改进的建议。

第十条 评审输入

信息安全管理评审的输入主要包括以下内容: (一) 信息安全管理体系内部审核或外部审核的结果; (二) 前一次管理评审所发现问题的改进情况; (三) 信息安全纠正和预防措施的实施记录; (四) 信息安全风险评估的结果和风险处置情况; (五) 信息安全管理体系有效性测量的结果; (六) 针对各部门、行内协作方、第三方等人员进行的信息安全管理体系满意度调查的结果; (七) 可能影响信息安全管理体系变化的相关文件、资料。

第十一条 评审要求

信息安全管理评审应根据以下要求进行实施: (一) 思度安全运营中心风险管理组负责筹划管理评审活动,编制管理评审计划并上报信息安全工作指挥小组审批。在评审前,思度安全运营中心风险管理组应向参加评审的人员下发管理评审计划,并负责管理评审文件与相关材料的准备。 (二) 管理评审会议由思度安全运营中心总经理主持(可授权信息安全管理者代表主持),信息安全工作指挥小组成员参加评审。 (三) 在管理评审活动中,应根据上一阶段体系运行情况,评价信息安全管理体系的持续适应性、充分性和有效性,明确下一阶段或下一年度的改进方向和重点。 (四) 思度安全运营中心风险管理组负责管理评审会议纪要的记录,并编制信息安全管理评审报告,经思度安全运营中心总经理批准后向信息安全工作指挥小组成员发布。

第十二条 跟踪验证

信息安全管理评审的跟踪验证工作应遵循以下要求进行: (一) 对于管理评审中所提出问题的改进,由信息安全管理者代表负责总体协调,思度安全运营中心风险管理组负责组织相关部门进行改进; (二) 需要采取改进措施的部门,应分析原因,提出切实具体的改进方法,根据要求落实改进措施; (三) 思度安全运营中心风险管理组负责督促、检查落实情况,对实施效果进行验证。

第十三条 记录保存

信息安全管理评审中所产生的记录文件,由信息风险科技管理组负责组织保存。

第五章 附则

本细则由思度安全运营中心制定、修订和解释。 本细则自发布之日起生效。

密级:内部公开 sidu-ISMS-03-02-V1.0

Back to top