XX公司管理评审程序.docVIP

版本：A 编号：ISMSP-03-A 第 PAGE 4 页 共 NUMPAGES 6 页 XXXX公司 ISMS 版 本 A 密 级 秘密★3年 XX管理评审程序 文件编号 ISMSP-03-A 1 目的 为确保公司信息安全管理体系持续的适宜性、充分性和有效性，评估公司信息安全管理体系的需要，包括信息安全方针、目标，特制定本程序。 2 适用范围 适用于本公司《XXXX公司信息安全管理体系手册》中信息安全管理体系管理评审的控制。 3 职责 3.1总经理 3.1.1 指示管理者代表负责按期进行管理评审。 3.1.2 评审前，管理者代表应作总结性发言，对体系运行情况做出切合实际的评价并明确改进任务和要求。 3.1.3 负责批准管理评审计划和报告。 3.2 管理者代表 3.2.1 提出评审的重点和对评审输入的要求。 3.2.2 主持管理评审会议并向总经理报告体系运行情况，提出关于管理评审的建议，组织有关管理评审的各项准备工作。 3.2.3 负责管理评审实施计划的落实和组织协调工作。 3.2.4 审查管理评审计划和报告。 3.2.5 负责评审后的跟踪检查及协调落实改进措施中的问题。 3.3人力资源部（总经办） 3.3.1负责收集汇总管理评审所需资料。 3.3.2负责管理评审实施计划和会议议程的制定、落实及组织协调工作。 3.3.3负责评审会议记录和管理评审报告、决议的编写。 3.3.4负责措施实施的跟踪检查及汇报工作。 3.4相关部门 3.4.1负责准备和提供与本部门工作有关的评审所需资料。 3.4.2负责落实评审中提出的纠正和预防措施的实施工作。 4定义 无 5程序 5.1评审时机 5.1.1信息安全管理评审每年至少进行一次。 5.1.2当出现下列情况时，由最高责任者批准，可以增加管理评审次数。 1) 本公司的产品、过程、系统、组织机构、人员和资源等有重大变化时。 2) 连续出现重大信息安全事故时。 3) 相关方有重大抱怨时。 5.2管理评审输入包括： 1) ISMS审核和评审的结果； 2) 相关方的反馈； 3) 可以用于改进ISMS业绩及有效性的技术、产品或程序； 4) 纠正和预防措施的实施情况； 5) 在以前风险评估没有充分提出的薄弱点或威胁； 6) 有效性测量的结果； 7）以往管理评审的跟踪措施； 8) 可能影响ISMS的任何更改； 9) 改进的建议。 5.3管理评审准备 5.3.1 管理者代表负责筹划管理评审，公司人力资源部（总经办）做好管理评审准备工作，编制《管理评审计划》，经总经理批准后，在评审7天前，以电子邮件的方式向参加评审的部门或人员下发，要求做好相应准备。 5.3.2 管理者代表起草前一阶段被评审的管理体系运行情况报告，并拟定管理评审中所要提出的改进意见。 5.3.3 公司人力资源部（总经办）负责以往管理评审的跟踪措施准备并提供： 1) 《内部审核报告》； 2) 《纠正措施表》跟踪； 3) 预防措施有关信息。 5.3.4 其他各部门按照其职责分工提供与信息安全管理体系运行有关的资料。 5.4管理评审实施 1) 管理者代表主持管理评审会议； 2) 管理者代表报告信息安全管理体系运行情况； 3) 相关部门报告管理评审准备资料； 4) 公司人力资源部（总经办）负责参加人员签到并作好《管理评审会议记录》。 5.5管理评审输出 5.5.1 公司人力资源部（总经办）负责评审记录的整理，并根据记录编写《管理评审报告》。《管理评审报告》应包括： 1) ISMS有效性的改进； 2) 影响信息安全的程序修订，必要时，对可能影响ISMS的内外部事件（events）的响应；这些变更包括： a）商业要求； b）安全要求； c）影响现存业务要求的业务过程； d）法律法规环境； e）风险水平和风险接受水平。 3）资源的需求； 4）控制实施有效性测量方法的改进。 5.5.2管理评审报告经管理者代表审核，总经理批准后，由公司人力资源部（总经办）以电子邮件的方式下发至公司有关领导和相关部门。 5.5.3有关部门采取相应措施，认真贯彻管理评审中提出的决议和指令，管理者代表负责督促实施，公司人力资源部（总经办）对实施结果组织检查、验证。 5.5.4管理评审有关记录由公司人力资源部（总经办）保存。 6相关文件 《XXXX公司信息安全管理体系手册》 《XX纠正措施控制程序》 《XX预防措施控制程序》 7 记录 记录名称 保存期限 《管理评审计划》 3年 《管理评审会议记录》 3年 《管理评审报告》 3年 《纠正措施表》 3年 8 本程序文件更改记录表 序号 条款号 更改标记 更改内容 更改通知单号 更改人/日期 附加说明： 本程序文件编制人：