ISO20000管理評審程序

本文格式為Word版，下載可任意編輯——ISO20000管理評審程序

管理評審程序

1目的

為確保信息安全管理體系/IT服務(wù)管理體系持續(xù)的適合性、充分性、有效性，對信息安全管理體系/IT服務(wù)管理體系、信息安全方針/服務(wù)方針和信息安全管理目標(biāo)/服務(wù)目標(biāo)進(jìn)行定期評審，并保證與法律、法規(guī)、公司其他制度、原則性文件不相悖的前提下制定本程序。

信息安全體系：ISO27001體系IT服務(wù)管理體系：ISO20000體系2適用范圍

本程序適用于最高管理者對信息安全管理體系/IT服務(wù)管理體系的評審。3職責(zé)與權(quán)限3.1公司高管

主持召開管理評審大會；批準(zhǔn)《管理評審報告》3.2管理者代表

批準(zhǔn)《管理評審計劃》；

組織召開管理評審會；組織撰寫《管理評審報告》3.3主管體系建設(shè)部門

制定《管理評審計劃》；

負(fù)責(zé)搜集并提供管理評審資料；

負(fù)責(zé)對評審后的改正、預(yù)防措施進(jìn)行跟蹤和驗(yàn)證3.4各部門

準(zhǔn)備、提供與本部門工作相關(guān)的評審所需資料；

負(fù)責(zé)實(shí)施管理評審中提出的相關(guān)的改正、預(yù)防措施4程序和工作流程

4.1制定年度管理評審計劃4.1.1年度管理評審計劃

組織主管部門根據(jù)信息安全管理體系/IT服務(wù)管理體系的運(yùn)營狀況，根據(jù)《IT服務(wù)管理手冊》、《信息安全管理手冊》以及ISO20000、ISO27001的標(biāo)準(zhǔn)要求，于每年年初（1月底之前）制定《年度管理評審計劃》。

管理評審計劃由管理者代表審批后方可生效。4.1.2年度管理評審計劃的內(nèi)容

管理評審計劃的主要內(nèi)容包括：審核目的、審核范圍、審核準(zhǔn)則、審核組的組建、審核員的資質(zhì)等的要求、審核的時間、參與評審的部門等。4.1.3管理評審的頻次

管理評審一般每年進(jìn)行一次，一般在同一年度最終一次內(nèi)部審核完成后進(jìn)行。也可根據(jù)需要安排。

當(dāng)出現(xiàn)以下狀況之一時可適當(dāng)增加管理評審頻次：

①公司組織機(jī)構(gòu)、服務(wù)范圍、資源配置發(fā)生重大變化時；

②發(fā)生重大IT服務(wù)事故/安全事故或用戶關(guān)于IT服務(wù)/信息安全有嚴(yán)重投訴或投訴連

續(xù)發(fā)生時；

③當(dāng)法律、法規(guī)、標(biāo)準(zhǔn)及其他要求有變化時；④市場需求發(fā)生重大變化時；⑤即將進(jìn)行其次、三方審核時；⑥審核中發(fā)現(xiàn)嚴(yán)重不合格時。4.2管理評審的準(zhǔn)備4.2.1《管理評審計劃》

管理評審實(shí)施計劃由主管體系建設(shè)部門組織制定。

主管體系建設(shè)的部門于每次管理評審前一個月編制《管理評審計劃》，報管理者代表審批。計劃主要內(nèi)容包括：

①評審時間；②評審目的；③評審依據(jù)；

④評審內(nèi)容；

⑤評審范圍及評審重點(diǎn)；⑥參與評審部門（人員）；

⑦各部門應(yīng)當(dāng)準(zhǔn)備的資料以及提交時間。4.2.2資料準(zhǔn)備

預(yù)定評審前一周，主管體系建設(shè)的部門組織、指導(dǎo)、督促各部門完成本部門應(yīng)當(dāng)提交的資料，以書面形式向管理者代表匯報。管理者代表認(rèn)為資料準(zhǔn)備不全，信息不夠充分的，主管體系建設(shè)的部門組織相關(guān)責(zé)任部門依照管理者代表的要求進(jìn)一步補(bǔ)充完善。4.3管理評審輸入

4.3.1IT服務(wù)管理體系管理評審輸入

對于IT服務(wù)管理體系，管理評審輸入應(yīng)包括與以下方面有關(guān)的當(dāng)前業(yè)績和改進(jìn)機(jī)遇：①IT服務(wù)方針、目標(biāo)的適用性；②IT服務(wù)管理體系的運(yùn)行狀況；③近期內(nèi)審結(jié)果報告；

④外部審核（包括第一方、其次方）狀況匯報；⑤改正和預(yù)防措施執(zhí)行狀況的報告；⑥上一次管理評審輸出的落實(shí)狀況；⑦公司內(nèi)、外部環(huán)境的變化狀況；

⑧其他相關(guān)因素（如資源充分性、員工培訓(xùn)效果等）的報告；⑨日常管搭理議議題報告。

4.3.2信息安全體系管理評審輸入

對于信息安全管理體系，管理評審時主要應(yīng)考慮如下內(nèi)容：①信息安全方針的適合性；②內(nèi)部審核和外部審核結(jié)果；③改正和預(yù)防措施的實(shí)施狀況；④各信息系統(tǒng)安全運(yùn)行狀況；

⑤風(fēng)險評估的結(jié)果與風(fēng)險管理狀況；⑥有效性測量結(jié)果；⑦相關(guān)方信息反饋；⑧適用性聲明的適用狀況；⑨安全事故與故障的處理狀況；

⑩法律法規(guī)的符合性與法律法規(guī)要求的變化；?改進(jìn)的建議。4.4管理評審會議

管理評審會議召開前2～7天，會議組織者應(yīng)向與會人員以書面或郵件形式發(fā)送《管理評審會議通知》，并整理與會人員的反饋，以確定與會人員的實(shí)際人數(shù)。

管理者代表主持管理評審會議，各部門負(fù)責(zé)人和有關(guān)人員對評審輸入做出評價，對于發(fā)現(xiàn)的不合格或潛在的不合格項提出改正和預(yù)防措施，確定責(zé)任人和整改時間。

管理者代表所涉及的評審內(nèi)容做出結(jié)論（包括進(jìn)一步調(diào)查、驗(yàn)證等）。

管理評審采取什么方式進(jìn)行由管理者代表請示公司領(lǐng)導(dǎo)后決定，一般默認(rèn)狀況下以會議形式進(jìn)行。

管理評審會議應(yīng)指定專人做會議記錄。4.5管理評審輸出

管理評審的輸出應(yīng)包括以下方面有關(guān)的措施：

①IT服務(wù)管理體系/信息安全管理體系及其過程的改進(jìn)，包括對IT服務(wù)方針/信息安

全方針、IT服務(wù)目標(biāo)/信息安全目標(biāo)、組織結(jié)構(gòu)、過程控制等方面的評價；②與客戶要求有關(guān)的產(chǎn)品的改進(jìn)，對現(xiàn)有產(chǎn)品符合要求的評價，包括是否需要進(jìn)行產(chǎn)

品、過程審核等與評審內(nèi)容相關(guān)的要求；③資源需求等。

本次管理評審的輸出可以作為下次管理評審的輸入。4.6管理評審報告

管理評審大會終止后，由體系主管部門根據(jù)管理評審輸出的要求和管理評審大會的會議記錄進(jìn)行總結(jié)，在管理者代表的指導(dǎo)下撰寫《管理評審報告》，經(jīng)管理者代表審核，交領(lǐng)導(dǎo)批準(zhǔn)后，發(fā)至相關(guān)部門并由主管體系建設(shè)的部門負(fù)責(zé)監(jiān)控執(zhí)行。

假使評審結(jié)果引起文件更改，應(yīng)執(zhí)行《文件控制程序》。

管理評審產(chǎn)生的相關(guān)的記錄應(yīng)由主管體系建設(shè)的部門按《記錄控制程序》保管，包括管理評審計劃、評審前各部門準(zhǔn)備的評審資料、評審會議記錄及