信息安全管理方案計劃過程

1、信息安全管理手冊文件編號版本編制編制日期審核批準(zhǔn)審核日期批準(zhǔn)日期變更記錄1.1 總則為了建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系（簡 稱ISMS）,確定信息安全方針和目標(biāo)，對信息安全風(fēng)險進行有效管理，確保全體員工理 解并遵照執(zhí)行信息安全管理體系文件、持續(xù)改進信息安全管理體系的有效性，特制定本 手冊。1.2 應(yīng)用本信息安全管理手冊規(guī)定了公司的信息安全管理體系要求、管理職責(zé)、內(nèi)部審核、 管理評審和信息安全管理體系改進等方面內(nèi)容。本信息安全管理手冊適用于公司業(yè)務(wù)活動所涉及的信息系統(tǒng)、資產(chǎn)及相關(guān)信息安全 管理活動，具體見4.2.2.1 條款規(guī)定。二、規(guī)范性引用文件下列文件中的條

2、款通過本信息安全管理手冊的引用而成為本信息安全管理手 冊的條款。凡是注日期的引用文件，其隨后所有的修改單或修訂版均不適用于本標(biāo)準(zhǔn)， 然而，行政部門應(yīng)研究是否可使用這些文件的最新版本。凡是不注日期的引用文件、其 最新版本適用于本信息安全管理手冊。三、術(shù)語和定義GB/T22080-2008idtIS027001:2005信息技術(shù)-安全技術(shù)-信息安全管理體系-要求、 GB/T22081-2008idtISO27OO2:2OO5信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則規(guī)定 的術(shù)語和定義適用于本信息安全管理手冊。本公司指公司所屬各部門。信息系統(tǒng)指由計算機及其相關(guān)的和配套的設(shè)備、設(shè)施（含網(wǎng)絡(luò)）構(gòu)成的，且按

3、照一定的應(yīng) 用目標(biāo)和規(guī)則對信息進行采集、加工、存儲、傳輸、檢索等處理的人機系統(tǒng)。計算機病毒指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù)，影響計算機使用 并能自我復(fù)制的一組計算機指令或者程序代碼。信息安全事件指導(dǎo)致信息系統(tǒng)不能提供正常服務(wù)或服務(wù)質(zhì)量下降的技術(shù)故障事件、利用信息系統(tǒng) 從事的反動有害信息和涉密信息的傳播事件、利用網(wǎng)絡(luò)所從事的對信息系統(tǒng)的破壞竊密 事件。相關(guān)方關(guān)注本公司信息安全或與本公司信息安全績效有利益關(guān)系的組織和個人。主要為： 政府、供方、銀行、用戶、電信等。四、信息安全管理體系概述本 公司 在軟 件開 發(fā)、經(jīng) 營、 服務(wù) 和日常管 理活 動中 ，按 GB/T22080

4、-2008 idtISO27001:2005 信息技術(shù) - 安全技術(shù) -信息安全管理體系 -要求規(guī)定，參照 GB/T22081-2008id tl S027002:2005信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則標(biāo)準(zhǔn)， 建立、實施、運行、監(jiān)視、評審、保持和改進文件化的信息安全管理體系。信息安全管理體系使用的過程基于圖1所示的PDCA模型。建立和管理信息安全管理體系建立信息安全管理體系信息安全管理體系的范圍和邊界本公司根據(jù)業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了范圍和邊界，本公 司信息安全管理體系的范圍包括：本公司涉及軟件開發(fā)、營銷、服務(wù)和日常管理的業(yè)務(wù)系統(tǒng)；與所述信息系統(tǒng)有關(guān)的活動；與所

5、述信息系統(tǒng)有關(guān)的部門和所有員工；所述活動、系統(tǒng)及支持性系統(tǒng)包含的全部信息資產(chǎn)。組織范圍：本公司根據(jù)組織的業(yè)務(wù)特征和組織結(jié)構(gòu)定義了信息安全管理體系的組織范圍，見本 手冊附錄A (規(guī)范性附錄)信息安全管理體系組織機構(gòu)圖。物理范圍：本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定義了信息安全管 理體系的物理范圍和信息安全邊界。本公司信息安全管理體系的物理范圍為本公司位于重慶市內(nèi)的所有運維場所，包含 客戶方以及公司內(nèi)部。信息安全管理體系的方針為了滿足適用法律法規(guī)及相關(guān)方要求，維持軟件開發(fā)和經(jīng)營的正常進行，實現(xiàn)業(yè)務(wù) 可持續(xù)發(fā)展的目的。本公司根據(jù)組織的業(yè)務(wù)特征、組織結(jié)構(gòu)、地理位置、資產(chǎn)和技術(shù)定

6、義了信息安全管理體系方針，見本信息安全管理手冊第 0.4 條款。該信息安全方針符合以下要求：為信息安全目標(biāo)建立了框架，并為信息安全活動建立整體的方向和原則；考慮業(yè)務(wù)及法律或法規(guī)的要求，及合同的安全義務(wù)；與組織戰(zhàn)略和風(fēng)險管理相一致的環(huán)境下，建立和保持信息安全管理體系；建立了風(fēng)險評價的準(zhǔn)則；經(jīng)最高管理者批準(zhǔn)。為實現(xiàn)信息安全管理體系方針，本公司承諾：在各層次建立完整的信息安全管理組織機構(gòu)，確定信息安全目標(biāo)和控制措施； 明確信息安全的管理職責(zé)識別并滿足適用法律、法規(guī)和相關(guān)方信息安全要求；定期進行信息安全風(fēng)險評估，信息安全管理體系評審，采取糾正預(yù)防措施，保 證體系的持續(xù)有效性；采用先進有效的設(shè)施和技術(shù)，

7、處理、傳遞、儲存和保護各類信息，實現(xiàn)信息共 享；對全體員工進行持續(xù)的信息安全教育和培訓(xùn)，不斷增強員工的信息安全意識和 能力；制定并保持完善的業(yè)務(wù)連續(xù)性計劃，實現(xiàn)可持續(xù)發(fā)展。風(fēng)險評估的方法行政部門負責(zé)制定信息安全風(fēng)險評估管理程序，建立識別適用于信息安全管理 體系和已經(jīng)識別的業(yè)務(wù)信息安全、法律和法規(guī)要求的風(fēng)險評估方法，建立接受風(fēng)險的準(zhǔn) 則并識別風(fēng)險的可接受等級。信息安全風(fēng)險評估執(zhí)行信息安全風(fēng)險評估管理程序， 以保證所選擇的風(fēng)險評估方法應(yīng)確保風(fēng)險評估能產(chǎn)生可比較的和可重復(fù)的結(jié)果。識別風(fēng)險在已確定的信息安全管理體系范圍內(nèi)，本公司按信息安全風(fēng)險評估管理程序， 對所有的資產(chǎn)進行了識別，并識別了這些資產(chǎn)的所

8、有者。資產(chǎn)包括數(shù)據(jù)、硬件、軟件、 人員、服務(wù)、文檔。對每一項資產(chǎn)按自身價值、信息分類、保密性、完整性、可用性、 法律法規(guī)符合性要求進行了量化賦值，形成了資產(chǎn)識別清單。同時，根據(jù)信息安全風(fēng)險評估管理程序，識別了對這些資產(chǎn)的威脅、可能被威 脅利用的脆弱性、識別資產(chǎn)價值、保密性、完整性和可用性、合規(guī)性損失可能對資產(chǎn)造 成的影響。分析和評價風(fēng)險本公司按信息安全風(fēng)險評估管理程序，采用人工分析法，分析和評價風(fēng)險：針對重要資產(chǎn)自身價值、保密性、完整性和可用性、合規(guī)性損失導(dǎo)致的后果進 行賦值；針對每一項威脅、薄弱點，對資產(chǎn)造成的影響，考慮現(xiàn)有的控制措施，判定安 全失效發(fā)生的可能性，并進行賦值；根據(jù)信息安全風(fēng)險

9、評估管理程序計算風(fēng)險等級；根據(jù)信息安全風(fēng)險評估管理程序及風(fēng)險接受準(zhǔn)則，判斷風(fēng)險為可接受或需 要處理。識別和評價風(fēng)險處理的選擇行政部門組織有關(guān)部門根據(jù)風(fēng)險評估的結(jié)果，形成信息安全不可接受風(fēng)險處理計 劃，該計劃明確了風(fēng)險處理責(zé)任部門、負責(zé)人、目的、范圍以及處置策略。對于信息安全風(fēng)險，應(yīng)考慮控制措施與費用的平衡原則，選用以下適當(dāng)?shù)拇胧合麥p風(fēng)險(通過適當(dāng)?shù)目刂拼胧┙档惋L(fēng)險發(fā)生的可能性)；b）接受風(fēng)險（風(fēng)險值不高或者處理的代價高于風(fēng)險引起的損失，公司決定接受該 風(fēng)險/殘余風(fēng)險）；c）規(guī)避風(fēng)險（決定不進行引起風(fēng)險的活動，從而避免風(fēng)險）；d）轉(zhuǎn)移風(fēng)險（通過購買保險、外包等方法把風(fēng)險轉(zhuǎn)移到外部機構(gòu)）。選擇控

10、制目標(biāo)與控制措施行政部門根據(jù)信息安全方針、業(yè)務(wù)發(fā)展要求及風(fēng)險評估的結(jié)果，組織有關(guān)部門制定 了信息安全目標(biāo)，并將目標(biāo)分解到有關(guān)部門（見適用性聲明）：a）信息安全控制目標(biāo)獲得了信息安全最高責(zé)任者的批準(zhǔn)。b）控制目標(biāo)及控制措施的選擇原則來源于GB/T22080-2008idtISO27OOl:2OO5信 息技術(shù)-安全技術(shù)-信息安全管理體系-要求附錄A,具體控制措施參考 GB/T22081-2008idtISO27OO2:2OO5信息技術(shù)-安全技術(shù)-信息安全管理實用規(guī)則。c）本公司根據(jù)信息安全管理的需要，可以選擇標(biāo)準(zhǔn)之外的其他控制措施。對風(fēng)險處理后的殘余風(fēng)險,得到了公司最高管理者的批準(zhǔn)。最高管理者通過

11、本手冊對實施和運行信息安全管理體系進行了授權(quán)。適用性聲明行政部門負責(zé)編制適用性聲明（SOA）。該聲明包括以下方面的內(nèi)容：a）所選擇控制目標(biāo)與控制措施的概要描述，以及選擇的原因；b）對GB/T22080-2008idtlS027001:2005附錄A中未選用的控制目標(biāo)及控制措施理 由的說明（本公司未涉及此項業(yè)務(wù)）。實施及運作信息安全管理體系為確保信息安全管理體系有效實施，對已識別的風(fēng)險進行有效處理，本公司開 展以下活動：a）形成信息安全不可接受風(fēng)險處理計劃，以確定適當(dāng)?shù)墓芾泶胧⒙氊?zé)及安全 控制措施的優(yōu)先級；b）為實現(xiàn)已確定的安全目標(biāo)、實施信息安全不可接受風(fēng)險處理計劃，明確各崗 位的信息安全職責(zé)

12、；c）實施所選擇的控制措施，以實現(xiàn)控制目標(biāo)的要求;d）確定如何測量所選擇的控制措施的有效性，并規(guī)定這些測量措施如何用于評估控制的有效性以得出可比較的、可重復(fù)的結(jié)果；e）進行信息安全培訓(xùn)，提高全員信息安全意識和能力；f）對信息安全體系的運作進行管理；g）對信息安全所需資源進行管理；h）實施控制程序，對信息安全事件（或征兆）進行迅速反應(yīng)。信息安全組織機構(gòu)本公司成立了信息安全領(lǐng)導(dǎo)機構(gòu)-信息安全委員會，其職責(zé)是實現(xiàn)信息安全管理體 系方針和本公司承諾。具體職責(zé)是：研究決定貫標(biāo)工作涉及到的重大事項；審定公司信 息安全方針、目標(biāo)、工作計劃和重要文件；為貫標(biāo)工作的有序推進和信息安全管理體系 的有效運行提供必要

13、的資源。本公司體系推進由行政部門負責(zé)，其主要負責(zé)制訂、落實貫標(biāo)工作計劃，對單位、 部門貫標(biāo)工作進行檢查、指導(dǎo)和協(xié)調(diào)，建立健全企業(yè)的信息安全管理體系，保持其有效、 持續(xù)運行。本公司由相關(guān)部門代表組成信息安全委員會，采用聯(lián)席會議（協(xié)調(diào)會）的方式，進行信息安全協(xié)調(diào)和協(xié)作，以：a）確保安全活動的執(zhí)行符合信息安全方針；b）確定怎樣處理不符合；c）批準(zhǔn)信息安全的方法和過程，如風(fēng)險評估、信息分類；d）識別重大的威脅變化，以及信息和相關(guān)的信息處理設(shè)施對威脅的暴露；e）評估信息安全控制措施實施的充分性和協(xié)調(diào)性；f）有效的推動組織內(nèi)信息安全教育、培訓(xùn)和意識；g）評價根據(jù)信息安全事件監(jiān)控和評審得出的信息，并根據(jù)識別

14、的信息安全事件推 薦適當(dāng)?shù)拇胧?。信息安全職?zé)和權(quán)限本公司總經(jīng)理為信息安全最高責(zé)任者?？偨?jīng)理指定了信息安全管理者代表。無論信 息安全管理者代表在其他方面的職責(zé)如何，對信息安全負有以下職責(zé)：a）建立并實施信息安全管理體系必要的程序并維持其有效運行；b）對信息安全管理體系的運行情況和必要的改善措施向信息安全委員會或最高責(zé) 任者報告。各部門負責(zé)人為本部門信息安全管理責(zé)任者，全體員工都應(yīng)按保密承諾的要求自覺 履行信息安全保密義務(wù)；各部門、人員有關(guān)信息安全職責(zé)分配見附錄C（規(guī)范性附錄）信息安全管理職責(zé) 明細表和相應(yīng)的程序文件。各部門應(yīng)按照適用性聲明中規(guī)定的安全目標(biāo)、控制措施（包括安全運行的 各種控制程序）

15、的要求實施信息安全控制措施。監(jiān)督與評審信息安全管理體系本公司通過實施不定期安全檢查、內(nèi)部審核、事故（事件）報告調(diào)查處理、電 子監(jiān)控、定期技術(shù)檢查等控制措施并報告結(jié)果以實現(xiàn)：a）及時發(fā)現(xiàn)處理結(jié)果中的錯誤、信息安全體系的事故（事件）和隱患；b）及時了解識別失敗的和成功的安全破壞和事件、信息處理系統(tǒng)遭受的各類攻擊；c）使管理者確認人工或自動執(zhí)行的安全活動達到預(yù)期的結(jié)果；d）使管理者掌握信息安全活動和解決安全破壞所采取的措施是否有效；e）積累信息安全方面的經(jīng)驗。根據(jù)以上活動的結(jié)果以及來自相關(guān)方的建議和反饋，由總經(jīng)理主持，每年至少 一次對信息安全管理體系的有效性進行評審，其中包括信息安全范圍、方針、目標(biāo)

16、的符 合性及控制措施有效性的評審，考慮安全審核、事件、有效性測量的結(jié)果，以及所有相 關(guān)方的建議和反饋。管理評審的具體要求，見本手冊第 7 章。行政部門應(yīng)組織有關(guān)部門按照信息安全風(fēng)險評估管理程序的要求，對風(fēng)險 處理后的殘余風(fēng)險進行定期評審，以驗證殘余風(fēng)險是否達到可接受的水平，對以下方面 變更情況應(yīng)及時進行風(fēng)險評估：a）組織；b）技術(shù)；c）業(yè)務(wù)目標(biāo)和過程；已識別的威脅；實施控制的有效性；外部事件，例如法律或規(guī)章環(huán)境的變化、合同責(zé)任的變化以及社會環(huán)境的變化。按照計劃的時間間隔進行信息安全管理體系內(nèi)部審核，內(nèi)部審核的具體要求， 見本手冊第6 章。定期對信息安全管理體系進行管理評審，以確保范圍的充分性，

17、并識別信息安 全管理體系過程的改進，管理評審的具體要求，見本手冊第 7 章?？紤]監(jiān)視和評審活動的發(fā)現(xiàn)，更新安全計劃。記錄可能對信息安全管理體系有效性或業(yè)績有影響的活動和事情。4.2.4保持與持續(xù)改進信息安全管理體系我公司開展以下活動，以確保信息安全管理體系的持續(xù)改進：實施每年管理評審、內(nèi)部審核、安全檢查等活動以確定需改進的項目；按照內(nèi)部審核管理程序、糾正措施管理程序、預(yù)防措施管理程序 的要求采取適當(dāng)?shù)募m正和預(yù)防措施；吸取其他組織及本公司安全事故(事件)的經(jīng)驗教 訓(xùn)，不斷改進安全措施的有效性；通過適當(dāng)?shù)氖侄伪３衷趦?nèi)部對信息安全措施的執(zhí)行情況與結(jié)果進行有效的溝通 包括獲取外部信息安全專家的建議、信

18、息安全政府行政主管部門的聯(lián)系及識別顧客對信 息安全的要求等；對信息安全目標(biāo)及分解進行適當(dāng)?shù)墓芾?，確保改進達到預(yù)期的效果。文件要求總則本公司信息安全管理體系文件包括：文件化的信息安全方針、控制目標(biāo)，在信息安全管理手冊中描述；信息安全管理手冊(本手冊，包括信息安全適用范圍及引用的標(biāo)準(zhǔn))；本手冊要求的信息安全風(fēng)險評估管理程序、業(yè)務(wù)持續(xù)性管理程序、糾 正措施管理程序等支持性程序；信息安全管理體系引用的支持性程序。如：文件和資料管理程序、記錄 管理程序、內(nèi)部審核管理程序等；為確保有效策劃、運作和控制信息安全過程所制定的文件化操作程序；信息安全風(fēng)險評估報告、信息安全不可接受風(fēng)險處理計劃以及信息安全 管理體

19、系要求的記錄類文件；相關(guān)的法律、法規(guī)和信息安全標(biāo)準(zhǔn)；適用性聲明(SOA)。文件控制 行政部門制定并實施文件和資料管理程序，對信息安全管理體系所要求的文件進行管理。對信息安全管理手冊、程序文件、管理規(guī)定、作業(yè)指導(dǎo)書和為保證信息 安全管理體系有效策劃、運行和控制所需的受控文件的編制、評審、批準(zhǔn)、標(biāo)識、發(fā)放、 使用、修訂、作廢、回收等管理工作做出規(guī)定，以確保在使用場所能夠及時獲得適用文 件的有效版本。文件控制應(yīng)保證：文件發(fā)布前得到批準(zhǔn)，以確保文件是充分的；必要時對文件進行評審、更新并再次批準(zhǔn)；確保文件的更改和現(xiàn)行修訂狀態(tài)得到識別；確保在使用時，可獲得相關(guān)文件的最新版本；確保文件保持清晰、易于識別；確

20、保文件可以為需要者所獲得，并根據(jù)適用于他們類別的程序進行轉(zhuǎn)移、存儲 和最終的銷毀；確保外來文件得到識別；確保文件的分發(fā)得到控制；防止作廢文件的非預(yù)期使用；若因任何目的需保留作廢文件時，應(yīng)對其進行適當(dāng)?shù)臉?biāo)識。記錄控制信息安全管理體系所要求的記錄是體系符合標(biāo)準(zhǔn)要求和有效運行的證據(jù)。行政 部門負責(zé)制定并維持易讀、易識別、可方便檢索又考慮法律、法規(guī)要求的記錄管理程 序，規(guī)定記錄的標(biāo)識、儲存、保護、檢索、保管、廢棄等事項。信息安全體系的記錄應(yīng)包括本手冊第 4.2 條中所列出的所有過程的結(jié)果及與ISMS 相關(guān)的安全事故（事件）的記錄。各部門應(yīng)根據(jù)記錄管理程序的要求采取適當(dāng)?shù)姆绞酵咨票９苄畔踩涗?。五、?/p>

21、理職責(zé)管理承諾我公司管理者通過以下活動，對建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系的承諾提供證據(jù)：a）建立信息安全方針（見本手冊第0.4章）；b）確保信息安全目標(biāo)得以制定（見本手冊第0.4章、適用性聲明、信息安全不可接受風(fēng)險處理計劃及相關(guān)記錄）；c）建立信息安全的角色和職責(zé)（見本手冊附錄E）；d）向組織傳達滿足信息安全目標(biāo)、符合信息安全方針、履行法律責(zé)任和持續(xù)改進的重要性；e）提供充分的資源，以建立、實施、運作、監(jiān)視、評審、保持并改進信息安全管理體系（見本手冊第 5.2章）；f）決定接受風(fēng)險的準(zhǔn)則和風(fēng)險的可接受等級（見信息安全風(fēng)險評估管理程序及相關(guān)記錄）；g）確保內(nèi)部信息安全管

22、理體系審核（見本手冊第6章）得以實施；h）實施信息安全管理體系管理評審（見本手冊第7章）。資源管理5.2.1資源的提供本公司確定并提供實施、保持信息安全管理體系所需資源；采取適當(dāng)措施，使影響 信息安全管理體系工作的員工的能力是勝任的，以保證：a）建立、實施、運作、監(jiān)視、評審、保持和改進信息安全管理體系；b）確保信息安全程序支持業(yè)務(wù)要求；c）識別并指出法律法規(guī)要求和合同安全責(zé)任；d）通過正確應(yīng)用所實施的所有控制來保持充分的安全；e）必要時進行評審，并對評審的結(jié)果采取適當(dāng)措施；f）需要時，改進信息安全管理體系的有效性。5.2.5 培訓(xùn)、意識和能力 行政部門制定并實施人力資源管理程序文件，確保被分配

23、信息安全管理體系規(guī) 定職責(zé)的所有人員，都必須有能力執(zhí)行所要求的任務(wù)?？梢酝ㄟ^：a）確定承擔(dān)信息安全管理體系各工作崗位的職工所必要的能力；b）提供職業(yè)技術(shù)教育和技能培訓(xùn)或采取其他的措施來滿足這些需求；c）評價所采取措施的有效性；d）保留教育、培訓(xùn)、技能、經(jīng)驗和資歷的記錄。本公司還確保所有相關(guān)人員意識到其所從事的信息安全活動的相關(guān)性和重要性，以 及如何為實現(xiàn)信息安全管理體系目標(biāo)做出貢獻。六、內(nèi)部信息安全管理體系審核總則行政部門負責(zé)建立并實施內(nèi)部審核管理程序，內(nèi)部審核管理程序應(yīng)包括策 劃和實施審核以及報告結(jié)果和保持記錄的職責(zé)和要求。并按照策劃的時間間隔進行內(nèi)部 審核，以確定其信息安全管理體系的控制目

24、標(biāo)、控制措施、過程和程序是否：a）符合本標(biāo)準(zhǔn)的要求和相關(guān)法律法規(guī)的要求；b）符合已識別的信息安全要求；c）得到有效地實施和維護；d）按預(yù)期執(zhí)行。內(nèi)審策劃行政部門應(yīng)考慮擬審核的過程和區(qū)域的狀況和重要性以及以往審核的結(jié)果，對審 核方案進行策劃。應(yīng)編制內(nèi)審年度計劃，確定審核的準(zhǔn)則、范圍、頻次和方法。每次審核前，行政部門應(yīng)編制內(nèi)審計劃，確定審核的準(zhǔn)則、范圍、日程和審核組。 審核員的選擇和審核的實施應(yīng)確保審核過程的客觀性和公正性。審核員不應(yīng)審核自己的 工作。內(nèi)審實施應(yīng)按審核計劃的要求實施審核，包括：a）進行首次會議，明確審核的目的和范圍，采用的方法和程序；b）實施現(xiàn)場審核，檢查相關(guān)文件、記錄和憑證，與相

25、關(guān)人員進行交流；c）進行對檢查內(nèi)容進行分析，召開內(nèi)審小組首次會議、末次會議，宣布審核意見 和不符合報告；d）審核組長編制審核報告。對審核中提出的不符合項報告，責(zé)任部門應(yīng)編制糾正措施，由行政部門組織對受 審部門的糾正措施的實施情況進行跟蹤、驗證。按照記錄管理程序的要求，保存審核記錄。內(nèi)部審核報告，應(yīng)作為管理評審的輸入之一。七、管理評審總則行政部門負責(zé)每年下半年組織信息安全管理體系管理評審，以確保其持續(xù)的適宜 性、充分性和有效性。管理評審應(yīng)包括評價信息安全管理體系改進的機會和變更的需要，包括安全方針 和安全目標(biāo)。管理評審的結(jié)果應(yīng)清晰地形成文件，記錄應(yīng)加以保持。評審輸入管理評審的輸入要包括以下信息：

26、a）信息安全管理體系審核和評審的結(jié)果；b）相關(guān)方的反饋；c）用于改進信息安全管理體系業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；d）預(yù)防和糾正措施的狀況；e）以往風(fēng)險評估沒有充分強調(diào)的脆弱性或威脅；f）有效性測量的結(jié)果；g）以往管理評審的跟蹤措施；h）任何可能影響信息安全管理體系的變更；i）改進的建議。評審輸出管理評審的輸出應(yīng)包括與下列內(nèi)容相關(guān)的任何決定和措施：a）信息安全管理體系有效性的改進；b）更新風(fēng)險評估和風(fēng)險處理計劃；c）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理 體系的內(nèi)外事件，包括以下方面的變化：1）業(yè)務(wù)要求；2）安全要求；3）影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；4）法律法規(guī)要求；5）合同責(zé)任；6）風(fēng)險等級和（或）風(fēng)險接受準(zhǔn)則。資源需求；改進測量控制措施有效性的方式。評審程序行政部門根據(jù)信息安全管理體系運行情況和內(nèi)、外審的結(jié)果，針對評審輸入信息 要求，制定管理評審計劃，送交總經(jīng)理批準(zhǔn)后，通知相關(guān)職能部門準(zhǔn)備及提供評審 資料。相關(guān)部門按管理評審計劃，準(zhǔn)備相關(guān)的信息、資料，對信息安全管理體系文 件的