《信息安全管理评审规定》-等级保护安全管理制度.docx

《《信息安全管理评审规定》-等级保护安全管理制度.docx》由会员分享，可在线阅读，更多相关《《信息安全管理评审规定》-等级保护安全管理制度.docx（8页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理评审规定-等级保护安全管理制度当前位置：文档视界（信息安全管理评审规定）-等级保护安全管理制度（信息安全管理评审规定）-等级保护安全管理制度当前位置：文档视界（信息安全管理评审规定）-等级保护安全管理制度（信息安全管理评审规定）-等级保护安全管理制度第一章总则第一条目的本制度旨在对XXX系统平台信息安全体系的适宜性、充分性、有效性进行评审，使XXX系统平台信息安全管理体系不断地完善并持续有效的运行，不断知足XXX系统平台信息安全方针要求，实现XXX信息安全体系目的。第二条范围本制度适用于XXX管理部最高管理者对信息安全体系适宜性、充分性和有效性的审核和评价活动。第三条定义ISMS：

2、InformationSecurityManagementSystem，信息安全管理体系第二章人员和职责第四条XXX管理部(一)批准发布本制度；(二)领导ISMS管理评审；第五条信息安全管理组(一)组织编写并控制本制度；(二)引导相关部门及人员落实本制度之要求。第六条信息安全审核组负责对施行效果进行验证。第七条XXX管理部全体员工遵守本制度。第三章内容第八条评审频次通常情况下管理评审每年一次。如遇重大信息安全问题、XXX系统平台组织架构变更、XXX业务发生重大调整，信息技术的重大变革、威胁源显著变化等情况则适当调整管理评审的次数。第九条评审内容管理评审应包括或涉及下面内容：(一)体系建立前或体

3、系上次修订前的综合情况；(二)体系运行修订后的变化，包括体系运行效果与缺乏；(三)信息安全方针、目的能否适应外部市场及内部环境的变化，实现情况怎样，是否需要调整和修订；(四)信息安全体系文件能否知足实际需要，能否需要修订；(五)组织构造、资源人员、技术、设备等能否知足信息安全体系有效运行的需要，能否需要调整和增加资源投入；(六)各项活动能否受控，能否需要改良。(七)必要时，能够聘请外部信息安全专家介入。参看信息安全聘请表及记录第十条评审输入信息安全管理体系管理评审输入包括但不限于：(一)ISMS审核和评审的结果；(二)相关方的反应；(三)组织用于改良ISMS业绩和有效性的技术、产品或程序；(四

4、)纠正和预防措施的施行情况；(五)上次风险评估未充分指出的脆弱性或威胁； (六)有效性测量的结果；(七)上次管理评审所采取措施的跟踪验证；(八)任何可能影响ISMS的变更；(九)改良的建议。第十一条评审施行(一)信息安全管理委员会根据XXX管理层要求，负责筹划管理评审并编制（管理评审计划），在评审前xx天向参加评审的部门或人员下发（管理评审计划），要求做好相应准备；(二)由最高管理者或者信息安全管理委员会主持召开管理评审会议，并按（管理评审计划）中要求内容逐项审议。(三)各部门按评审计划内容进行汇报和提交有关资料。(四)XXX管理部最高管理者/信息安全管理小组根据评审情况做出相应评定结论，包括

5、：1)对影响信息安全方针、目的及信息安全管理体系适宜性和有效性的问题，提出明确的改良要求；2)对所有活动所需资源予以确认与保证。(五)信息安全管理组负责参加人员签到，记录评审经过的会议纪要并归档；第十二条评审输出(一)管理评审的输出应包括但不限于下面任何决定和措施：1)ISMS有效性的改良；2)更新风险评估和风险处置计划；3)必要时，修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件。(二)包括下面方面的变化：1)业务要求；2)安全要求；3)影响现有业务要求的业务经过；4)法律法规要求；5)合同责任；6)风险等级和/或风险接受准则。7)资源需求；8)改良测量控制措施有效性的方式。第十三条评审跟进评审结果涉及到的需要采取改良/预防措施的部门，由部门负责人制定改良/预防措施，在评审报告明确规定的期限内落实改良/预防措施任务的完成情况。信息安全审计组负责对施行效果进行验证。第四章检查表第十四条管理评审执行情况检查表当前位置：文档视界（信息安全管理评审规定）-等级保护安全管理制度（信息安全管理评审规定）-等级保护安全管理制度当前位置：文档视界（信息安全管理评审规定）-等级保护安全管理制度（信息安全管理评审规定）-等级保护安全管理制度当前位置：文档视界（信息安全管理评审规定）-等级保护安全管理制度（信息安全管理评审规定）-等级保护安全管理制度