信息安全管理评审规定.docx

信息安全管理评审规定信息安全管理评审规定第一章总则第一条为规范对科技发展部信息安全体系的适宜性、充分性、有效性进行评审，使科技发展部信息安全管理体系不断地完善并持续有效运行，知足科技发展部信息安全方针要求，实现科技发展部信息安全管理目的，特制定本规定。第二条本规定适用于科技发展部职责范围内的信息安全体系适宜性、充分性和有效性进行的审核和评价。第二章术语和定义第三条本规定采用GB/T22080-2020/ISO/IEC27001:2021、GB/T22081-2020/ISO/IEC27002:2021的定义和缩写，本规定中需补充讲明的定义和缩写如下：一管理评审：最高管理者应按策划的时间间隔评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改良的时机和变更的需要，包括信息安全方针和目的。第三章组织与职责第四条科技发展部信息安全工作指挥小组负责对信息安全体系进行管理评审、作出相应的管理评审决策。第五条科技发展部风险管理组负责本规定的制定、解释和修改、组织管理评审、制定管理评审计划、有效性测量结果的审核。第六条各部门安全组负责本部门的管理评审相关工作的检查与审核；第七条各部门负责讨论、提供、审核管理评审的输入、参加管理评审、管理评审发现问题的整改、提供体系运行状况报告、采集相关方的反应、有效性度量结果的采集。第四章管理评审规定第八条科技发展部信息安全管理体系管理评审每年一次，风险评估和处置、体系度量和内部审核等活动应安排在管理评审之前完成。如遇重大信息安全问题、科技发展部组织架构变更、科技发展部业务发生重大调整、信息技术的重大变革、威胁源显著变化等情况，也应酌情举行管理评审。第九条评审内容一体系建立前或体系上次修订前的综合情况。二体系运行、修订后的变化，包括体系运行效果。三信息安全方针、目的能否适应外部市场及内部环境的变化，实现情况怎样，能否需要调整和修订。四信息安全管理体系文件能否知足实际需要，能否需要修订。五组织构造、资源人员、技术、设备等能否知足信息安全管理体系有效运行的需要，能否需要调整和增加资源投入。六各项活动能否受控，能否需要改良。第十条评审输入信息安全管理体系管理评审输入包括但不限于：一ISMS审核和评审的结果；二相关方的反应；三体系施行经过中的文件修订；四用于改良组织ISMS绩效和有效性的方法、产品或者流程制度；五纠正和预防措施的施行情况；六上次风险评估中没有发现的弱点和威胁；七有效性测量的结果；八上次管理评审所采取措施的跟踪验证；九任何可能影响ISMS的变化，可能包括：1.业务要求；2.安全要求；3.影响现有业务要求的业务经过；4.法律法规要求；5.合同责任；6.风险评估方法或风险接受标准；7.资源需求；8.改良测量控制措施有效性的方法。第十一条评审施行一科技发展部风险管理组根据科技发展部信息安全工作指挥小组要求，负责筹划管理评审并编制管理评审计划，在评审前向参加评审的部门或人员下发管理评审计划，要求做好相应准备。二由科技发展部信息安全工作指挥小组组长主持召开管理评审会议，并按管理评审计划中所列内容逐项审议。三各部门按评审计划内容进行汇报和提交有关资料。四科技发展部信息安全工作指挥小组根据评审情况做出相应评定结论，包括：对影响信息安全方针、目的及信息安全管理体系适宜性和有效性的问题，提出明确的改良要求；对所有活动所需资源予以确认与保证。五科技发展部风险管理组负责记录评审经过的会议纪要并归档。第十二条管理评审的输出应包括但不限于下面决定和措施：一ISMS有效性的改良；二更新风险评估和风险处置计划；三必要时，修订影响信息安全的规定和控制措施，以反映可能影响ISMS的内外事件。第十三条评审结果涉及到的需要采取改良/预防措施的部门，由各部门负责人制定改良/预防措施，在评审报告明确规定的期限内落实改良/预防措施。相关管理部门负责对施行效果进行验证。第五章附则第十四条本规定由科技发展部负责制定、解释和修改。第十五条本规定自印发之日起实行。