ISO∕IEC 27001-2022《信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全管理體系-要求》“第9章 績效評價”解讀和應(yīng)用指導(dǎo)材料（雷澤佳編制2024）

ISO/IEC27001:2022“第9章：績效評價”解讀和應(yīng)用指導(dǎo)材料ISO/IEC27001:2022《信息安全、網(wǎng)絡(luò)安全和隱私保護-信息安全管理體系-要求》“第9章：績效評價”解讀和應(yīng)用指導(dǎo)材料績效評價監(jiān)視、測量、分析和評價監(jiān)視、測量、分析和評價過程監(jiān)視、測量、分析和評價（如圖“圖1：監(jiān)視、測量、分析和評估過程”所示）過程包括以下過程：識別信息需求：這一步驟涉及明確組織在信息安全方面需要哪些信息來支持決策和評估。建立和維護測度：在此階段，組織需要確定用于衡量信息安全績效和ISMS有效性的具體指標或測度。建立規(guī)程：規(guī)程的建立是為了確保監(jiān)視、測量、分析和評價活動能夠按照既定的方法和程序進行。監(jiān)視和測量：這一步是實際執(zhí)行監(jiān)視和測量活動的環(huán)節(jié)，通過收集數(shù)據(jù)來反映信息安全和ISMS的當前狀態(tài)。分析結(jié)果：收集到的數(shù)據(jù)需要經(jīng)過分析，以揭示信息安全和ISMS的績效趨勢、問題和改進機會。評價信息安全實施和ISMS有效性：基于分析結(jié)果，對信息安全控制措施的實施情況和ISMS的整體有效性進行評價。對上述過程進行評審和改進的ISMS管理過程：組織需要定期評審上述過程的執(zhí)行情況和結(jié)果，并根據(jù)需要進行調(diào)整和改進，以確保ISMS的持續(xù)有效性和適應(yīng)性。這一過程是ISMS管理循環(huán)的重要組成部分，旨在實現(xiàn)體系的持續(xù)優(yōu)化。圖1：監(jiān)視、測量、分析和評估過程監(jiān)視和測量信息安全監(jiān)視與測量的概念信息安全監(jiān)視：指對組織的信息安全管理體系（ISMS）及其相關(guān)過程進行持續(xù)觀察，旨在檢測任何與信息安全策略、標準或預(yù)期績效的偏差。通過這種觀察，組織能夠及時發(fā)現(xiàn)潛在的信息安全威脅、漏洞或不合規(guī)行為，從而采取相應(yīng)的糾正措施；能被監(jiān)視的系統(tǒng)、過程和活動包括但不限于：ISMS過程的實施：監(jiān)視ISMS各項過程的執(zhí)行情況，確保它們按照既定的計劃和策略進行；事件管理：對信息安全事件進行監(jiān)視，包括事件的檢測、記錄、分類、響應(yīng)和恢復(fù)等；脆弱性管理：監(jiān)視系統(tǒng)的脆弱性，包括定期進行的脆弱性評估、修復(fù)和驗證等活動；配置管理：對系統(tǒng)、網(wǎng)絡(luò)和應(yīng)用的配置進行監(jiān)視，確保它們符合安全標準和最佳實踐；安全意識和培訓(xùn)：監(jiān)視員工的安全意識和培訓(xùn)情況，包括培訓(xùn)計劃的執(zhí)行、員工對安全政策的了解程度等；訪問控制、防火墻和其他事件日志：監(jiān)視訪問控制機制、防火墻的運行狀態(tài)以及生成的事件日志，以發(fā)現(xiàn)潛在的安全威脅；審核：對ISMS進行定期審核，驗證其有效性和符合性；風(fēng)險評估過程：監(jiān)視風(fēng)險評估的執(zhí)行情況，包括風(fēng)險的識別、分析和評價；風(fēng)險處置過程：監(jiān)視風(fēng)險處置措施的實施情況，確保風(fēng)險得到有效控制；第三方風(fēng)險管理：監(jiān)視與第三方相關(guān)的風(fēng)險，包括供應(yīng)商、合作伙伴等的安全管理情況；業(yè)務(wù)連續(xù)性管理：監(jiān)視業(yè)務(wù)連續(xù)性計劃的制定和執(zhí)行情況，確保在面臨中斷時能夠迅速恢復(fù)業(yè)務(wù)；物理和環(huán)境安全管理：監(jiān)視物理環(huán)境的安全性，包括設(shè)施的物理訪問控制、環(huán)境監(jiān)控等；系統(tǒng)監(jiān)視：對信息系統(tǒng)的整體運行狀況進行實時監(jiān)視，確保系統(tǒng)的穩(wěn)定性和安全性。信息安全測量：指通過量化方法評估組織的信息安全績效。測量過程涉及收集、分析和解釋與信息安全相關(guān)的數(shù)據(jù)，以提供客觀、可比較的績效指標。這些指標有助于組織了解其ISMS的實施效果，以及是否達到了既定的信息安全目標。監(jiān)視和測量的目的：旨在幫助組織確定是否按計劃實現(xiàn)信息安全活動（包括風(fēng)險評價和處置）的預(yù)期結(jié)果。信息安全測量的類型在信息安全管理體系中，組織通常會考慮以下兩種類型的測量：信息安全績效測量：這種類型的測量關(guān)注ISMS各項活動的直接結(jié)果。它通常通過量化指標來反映信息安全控制的實施情況，例如安全事件的次數(shù)、安全漏洞的修復(fù)速度、安全培訓(xùn)的參與率等。這些指標有助于組織評估其信息安全活動的效率和有效性；信息安全有效性測量：與績效測量相比，有效性測量更注重評估ISMS對組織整體信息安全狀況的影響。它關(guān)注的是ISMS實施后組織信息安全水平的實際提升程度，以及這些提升是否與組織的信息安全戰(zhàn)略和目標相一致。有效性測量能夠幫助組織識別ISMS中的關(guān)鍵成功因素和潛在改進領(lǐng)域。可作為測量對象的ISMS過程和活動包括：規(guī)劃；領(lǐng)導(dǎo)；風(fēng)險管理；方針管理；資源管理；溝通；管理評審；文件化；和審核。誰應(yīng)監(jiān)視和測量：與測量相關(guān)的角色和職責(zé)：測量的客戶：要求或需要關(guān)于ISMS、控制措施或控制措施組的有效性相關(guān)的信息的管理層和其他利益相關(guān)方；測量策劃者：將可測量屬性關(guān)聯(lián)到特定信息需求并完成測量構(gòu)造的人或部門；測量評審者：確認已制定的測量構(gòu)造是否適合于評價信息安全績效和ISMS、控制措施或控制措施組有效性的人或部門；信息所有者：擁有為測度提供輸入信息的人或部門。該人員負責(zé)提供數(shù)據(jù)，并常常（但并不一定）負責(zé)實施測量活動；信息收集者：負責(zé)收集、記錄和存儲數(shù)據(jù)的人員或部門；信息分析者：負責(zé)分析數(shù)據(jù)的人員或部門；信息溝通者：負責(zé)傳達分析結(jié)果的人或部門。明確信息安全監(jiān)視與測量的信息需求；核心信息需求的界定：在構(gòu)建信息安全管理體系的監(jiān)視與測量機制時，首要任務(wù)是精準界定“信息需求”。這些需求應(yīng)聚焦于那些能夠反映組織信息安全績效及ISMS有效性的關(guān)鍵信息安全問題和指標；目標導(dǎo)向的監(jiān)視與測量：明確信息需求有助于組織有針對性地規(guī)劃監(jiān)視與測量活動，確保所收集的數(shù)據(jù)和信息能夠有效支撐對信息安全實踐成果的評估。信息安全監(jiān)視與測量的詳細策劃與實施。確定監(jiān)視與測量的關(guān)鍵要素：組織必須明確哪些信息安全流程和控制點是需要重點監(jiān)視與測量的。選擇測量指標時應(yīng)慎重，避免過度或無效地測量，以節(jié)約資源并確保關(guān)鍵風(fēng)險點不被遺漏；制定監(jiān)視與測量的時間計劃：合理安排監(jiān)視與測量的時間節(jié)點，以確保信息安全狀態(tài)的實時監(jiān)控和定期評估；分配監(jiān)視與測量的職責(zé)角色：為參與監(jiān)視與測量活動的人員明確劃分職責(zé)與角色，如數(shù)據(jù)收集者、分析評估者、結(jié)果審核者等，確保各環(huán)節(jié)的有效執(zhí)行。選用適當?shù)谋O(jiān)視與測量方法：選擇并應(yīng)用適合組織信息安全需求的監(jiān)視與測量技術(shù)和方法，以保證測量結(jié)果的準確性、可比性和有效性，從而為信息安全決策提供可靠依據(jù)。信息安全監(jiān)視與測量的應(yīng)用案例明確信息需求與目標XYZ公司首先識別了關(guān)鍵信息安全問題，如數(shù)據(jù)泄露、惡意攻擊等，并確定了與之對應(yīng)的績效指標，如安全事件響應(yīng)時間、漏洞修復(fù)率等。公司設(shè)定了明確的信息安全目標，如“將安全事件響應(yīng)時間縮短至24小時內(nèi)”，并以此為導(dǎo)向規(guī)劃監(jiān)視與測量活動。策劃與實施監(jiān)視與測量關(guān)鍵要素確定：XYZ公司選擇了幾個關(guān)鍵的信息安全流程和控制點進行監(jiān)視，包括用戶身份驗證、數(shù)據(jù)備份與恢復(fù)、網(wǎng)絡(luò)安全防護等。針對這些流程，公司制定了詳細的測量指標，如身份驗證失敗率、備份成功率等。時間計劃制定：為了確保實時監(jiān)控和定期評估，公司設(shè)定了每周、每月和每季度的監(jiān)視與測量時間節(jié)點，并制定了相應(yīng)的工作計劃。職責(zé)角色分配：公司成立了專門的信息安全團隊，包括數(shù)據(jù)收集人員、分析評估人員和結(jié)果審核人員。每個角色都有明確的職責(zé)和權(quán)限，確保監(jiān)視與測量活動的順利進行。方法選擇與應(yīng)用：XYZ公司采用了多種監(jiān)視與測量方法，包括日志分析、漏洞掃描、滲透測試等。這些方法的應(yīng)用不僅保證了測量結(jié)果的準確性和可比性，還為信息安全決策提供了可靠依據(jù)。監(jiān)視與測量的成果與改進通過持續(xù)的監(jiān)視與測量，XYZ公司及時發(fā)現(xiàn)了多個潛在的信息安全威脅和漏洞，并采取了相應(yīng)的糾正措施，有效降低了安全風(fēng)險。公司定期分析監(jiān)視與測量數(shù)據(jù)，評估ISMS的實施效果，并根據(jù)評估結(jié)果進行必要的調(diào)整和優(yōu)化。例如，針對某次測量中發(fā)現(xiàn)的身份驗證失敗率較高的問題，公司加強了身份驗證機制的安全性，并提高了用戶密碼的復(fù)雜度要求。通過與其他組織的比較和標桿學(xué)習(xí)，XYZ公司不斷識別信息安全領(lǐng)域的最佳實踐，并將其融入自身的ISMS中，持續(xù)提升信息安全績效。分析和評價分析和評價在信息安全管理體系中的應(yīng)用分析的定義及應(yīng)用：在信息安全管理體系（ISMS）中，分析是對收集的數(shù)據(jù)進行深入研究，以識別潛在的關(guān)系、模式和趨勢，進而為信息安全決策提供依據(jù)。這種分析可能涉及復(fù)雜的統(tǒng)計運算，以及借鑒其他組織的相關(guān)信息，以增強數(shù)據(jù)的解讀能力和結(jié)論的準確性。分析與ISMS中的測量活動緊密相連，共同構(gòu)成信息安全狀態(tài)評估的基礎(chǔ)；績效評價的作用：績效評價是評估ISMS在實現(xiàn)既定信息安全目標方面的有效性、充分性和適宜性的關(guān)鍵活動。它幫助組織了解當前的信息安全狀況，識別需要改進的領(lǐng)域，并驗證所采取的安全控制措施是否有效。(2)信息安全管理體系中分析和評價的實施指南確定分析和評價的內(nèi)容：首要任務(wù)是明確“信息需求”，即確定哪些數(shù)據(jù)和信息對于評估ISMS的狀態(tài)和性能至關(guān)重要。評價過程應(yīng)涵蓋兩個方面：評價ISMS的有效性：以驗證組織的信息安全策略、目標和控制措施是否得當，并確定信息安全目標的實現(xiàn)程度；評價信息安全績效：以檢查組織在實際操作中是否遵循了既定的信息安全標準和程序，包括ISMS過程與規(guī)范的符合程度。類別評價項目評價方式或要點評價輸出結(jié)果評價ISMS的有效性策略與目標信息安全策略的合理性與適用性評估策略是否覆蓋所有關(guān)鍵信息安全領(lǐng)域，是否與實際業(yè)務(wù)環(huán)境相匹配策略的有效性與修訂建議信息安全目標的設(shè)定與達成情況對比實際績效與目標，分析差距及原因目標的達成度與改進方向控制措施控制措施的設(shè)計與實施情況檢查控制措施是否完善、合理，并得到有效實施控制措施的適當性與優(yōu)化建議控制措施的效果評估通過安全事件、漏洞等數(shù)據(jù)分析控制措施的實際效果控制措施的效果及調(diào)整建議評價信息安全績效標準與程序遵循信息安全標準和程序的遵循情況核查實際操作中是否嚴格遵守既定的信息安全標準和程序遵循程度與違規(guī)情況記錄ISMS過程與規(guī)范ISMS過程的執(zhí)行情況評估ISMS各項過程的執(zhí)行是否符合規(guī)范要求過程執(zhí)行的符合度與改進建議信息安全事件的響應(yīng)與處理分析安全事件的響應(yīng)速度、處理效果及后續(xù)改進措施事件響應(yīng)與處理效果評價績效指標關(guān)鍵績效指標（KPI）的達成情況對比實際績效指標與預(yù)定目標，分析差距及原因KPI達成度與提升策略在進行分析和評價時，需要權(quán)衡成本效益，避免過度投入而掩蓋或遺漏關(guān)鍵問題。安排分析和評價的時間：組織應(yīng)制定明確的時間表，規(guī)定何時對監(jiān)視和測量的結(jié)果進行分析和評價。這有助于確保分析的及時性和有效性，以便在必要時采取糾正措施；分配分析和評價的責(zé)任：組織應(yīng)識別和分配參與分析和評價活動的具體角色和責(zé)任。這些角色可能包括數(shù)據(jù)收集者、分析師、結(jié)果解釋者和報告編制者等。通過明確各自的職責(zé)和權(quán)限，可以確保分析和評價過程的順利進行，并提高結(jié)果的準確性和可靠性。同時，由于這些角色需要不同的專業(yè)知識和技能，因此應(yīng)根據(jù)人員的實際能力進行合理分配。保留成文信息保留監(jiān)視、測量、分析和評價績效結(jié)果的成文信息；組織在執(zhí)行監(jiān)視、測量、分析和評價活動后，應(yīng)確保保留適當?shù)某晌男畔ⅲ槐O(jiān)視和測量的結(jié)果：日常檢查記錄：包括對ISMS控制目標和檢查內(nèi)容的定期檢查結(jié)果。審計監(jiān)控系統(tǒng)回顧報告：涵蓋對各種日志系統(tǒng)、審計系統(tǒng)、監(jiān)控系統(tǒng)等的抽樣檢查或定期回顧結(jié)果，特別關(guān)注告警信息和錯誤日志。信息安全事件統(tǒng)計報告：記錄并分析發(fā)生的信息安全事件，包括事件類型、原因、影響及處理情況。分析和評價的輸出：信息安全目標測量信息一覽表：展示信息安全目標的達成情況，衡量ISMS的績效；有效性測量記錄表：定期記錄信息安全有效性測量的結(jié)果，以評估ISMS是否持續(xù)改進并達到預(yù)期效果；績效分析報告：根據(jù)收集的數(shù)據(jù)和信息，分析信息安全績效，識別趨勢和問題，提出改進建議。支持性證據(jù)：相關(guān)會議紀要：記錄關(guān)于信息安全績效和ISMS有效性討論的會議內(nèi)容、決策和行動計劃；培訓(xùn)和意識活動記錄：包括信息安全培訓(xùn)、調(diào)查問卷、考試等活動的參與情況和結(jié)果；糾正和預(yù)防措施記錄：針對識別出的問題或潛在問題所采取的糾正和預(yù)防措施的記錄。管理評審輸出（管理評審報告）：定期評審信息安全管理體系，包括績效、目標實現(xiàn)、資源分配等方面的內(nèi)容，以及評審后的決策和行動計劃；外部審核和認證機構(gòu)的報告（如適用）：外部審核報告：由外部審核機構(gòu)進行的ISMS審核結(jié)果報告，包括符合性、有效性和改進建議；認證證書和審核記錄：證明組織ISMS符合ISO/IEC27001等標準的證書和相關(guān)審核活動的記錄。這些成文信息是作為上述活動結(jié)果的直接證據(jù)，有助于驗證信息安全管理體系（ISMS）的績效和有效性；成文信息的保留對于后續(xù)的審核、持續(xù)改進以及必要時的追溯至關(guān)重要。記錄測量設(shè)備的維護、校準或驗證的成文信息；組織應(yīng)對用于監(jiān)視和測量的設(shè)備進行適當?shù)木S護，并定期進行校準或驗證，以確保其準確性和可靠性；所有關(guān)于測量設(shè)備維護、校準或驗證的活動都應(yīng)被詳細記錄并保留為成文信息；這些記錄對于確保測量結(jié)果的準確性、設(shè)備的正確使用以及符合相關(guān)標準和法規(guī)要求至關(guān)重要；同時，它們也為設(shè)備的維護和管理提供了有價值的參考信息。內(nèi)部審核總則審核頻率：組織應(yīng)按照預(yù)先策劃的時間間隔進行內(nèi)部審核。審核目的與范圍：內(nèi)部審核旨在提供有關(guān)ISMS的以下關(guān)鍵信息：符合性評價：組織自身的ISMS要求，包括：信息安全方針；規(guī)程的具體要求；因設(shè)定信息安全目標框架而產(chǎn)生的要求（如風(fēng)險處置過程的結(jié)果）；特定的法律和合同要求；以及對成文信息的規(guī)定；評價ISMS是否得到了有效實施和保持。本標準的要求：評估ISMS是否符合ISO/IEC27001:2022標準的要求。實施與保持的有效性：審核應(yīng)檢查ISMS是否在實際操作中得到了有效實施和持續(xù)保持。向最高管理者提供保證：通過內(nèi)部審核，向組織的最高管理層提供ISMS當前狀態(tài)的可靠保證。審核原則：進行審核時應(yīng)遵循以下原則，以確保審核的質(zhì)量和公正性（參考ISO19011）：完整性：審核應(yīng)全面覆蓋ISMS的所有相關(guān)方面；公正表達：審核發(fā)現(xiàn)和結(jié)論應(yīng)客觀、公正地反映實際情況；職業(yè)素養(yǎng)：審核員應(yīng)具備必要的專業(yè)知識和技能，并以專業(yè)態(tài)度執(zhí)行審核任務(wù)；保密性：審核過程中獲得的所有信息都應(yīng)受到保護，并且只用于預(yù)定的目的；獨立性：審核員應(yīng)保持獨立性，避免任何可能影響其判斷公正性的利益沖突；基于證據(jù)的方法：所有審核發(fā)現(xiàn)和結(jié)論都應(yīng)基于可驗證的證據(jù)。內(nèi)部審核方案概述審核方案的策劃與制定：組織應(yīng)根據(jù)自身需求，策劃并制定一個或多個內(nèi)部審核方案。這些方案應(yīng)明確審核的頻率、采用的方法、相關(guān)人員的職責(zé)、具體的策劃要求以及如何進行報告；方案制定時的考慮因素：在制定內(nèi)部審核方案時，組織應(yīng)特別注意相關(guān)過程的重要性和以往審核的結(jié)果，以便更加精準地確定審核的重點和范圍。審核的具體要求：每次審核前，都應(yīng)明確規(guī)定審核的準則和范圍，確保審核的目標清晰、明確；組織應(yīng)選擇具備相應(yīng)資質(zhì)的審核員來實施審核，并采取措施確保整個審核過程的客觀性和公正性，防止任何可能的偏見或利益沖突；審核完成后，必須確保將審核結(jié)果及時、準確地報告給相關(guān)的管理者，以便他們能夠根據(jù)這些信息做出適當?shù)臎Q策和改進措施。參考標準：組織在策劃和實施內(nèi)部審核時，可以參考ISO19011標準，該標準為管理體系的審核提供了通用的指南和建議，有助于組織提高內(nèi)部審核的效率和有效性。內(nèi)部審核的范圍與內(nèi)容內(nèi)部審核的范圍：這不僅涵蓋了組織的信息安全管理體系（ISMS）的各個組成部分，還可能涉及組織的特定業(yè)務(wù)流程、系統(tǒng)、數(shù)據(jù)等。范圍的確定是為了確保審核的全面性和針對性；內(nèi)部審核的頻次：即組織進行內(nèi)部審核的頻率，它并非固定不變，而是根據(jù)組織的實際情況和需求來設(shè)定。頻次的合理性對于及時發(fā)現(xiàn)和糾正問題至關(guān)重要。影響范圍和頻次的因素：組織的規(guī)模和性質(zhì)：大型、復(fù)雜的組織可能需要更頻繁、更廣泛的內(nèi)部審核來確保其ISMS的有效性；而小型、簡單的組織則可能相對減少頻次和縮小范圍；ISMS的性質(zhì)、功能、復(fù)雜性和成熟度：一個高度復(fù)雜、功能多樣且成熟度較高的ISMS，往往需要更細致、更深入地審核來驗證其各個部分是否協(xié)同工作、是否達到了預(yù)期的安全效果。相反，一個新建或正在轉(zhuǎn)型的ISMS，可能更側(cè)重于關(guān)鍵領(lǐng)域和潛在風(fēng)險的審核。審核方案的制定與要求審核方案的定義與目的：審核方案是為特定時間范圍和特定目標設(shè)定的一組審核的總體框架；它與審核計劃有所區(qū)別，主要描述特定審核的具體活動和安排；審核準則是進行審核時比對的一組方針、規(guī)程或要求，是判斷審核證據(jù)的依據(jù)。審核方案的策劃與實施責(zé)任：審核方案明確了策劃、實施、報告和跟進審核活動的結(jié)構(gòu)和相關(guān)責(zé)任；應(yīng)確保所開展的審核活動適宜且范圍正確，對組織運營的影響應(yīng)最小化，同時保持必要的審核質(zhì)量；審核方案的考慮因素：在制定審核方案時，還應(yīng)考慮已經(jīng)運行了一段時間的過程和控制，以便能夠?qū)m當?shù)淖C據(jù)進行評價。審核方案應(yīng)包含的成文信息：審核方案應(yīng)包括審核準則、審核方法、審核組的選擇等成文信息；此外，還應(yīng)包含保密處理流程、信息安全規(guī)定、審核員的健康和安全規(guī)定等其他相關(guān)事項。審核過程與實施內(nèi)部審核的核心目的；內(nèi)部審核的主要目的是識別不符合項、風(fēng)險以及機會；對于識別出的不符合項，應(yīng)按照10.1的要求進行管理；按照4.1和6.1的要求，對識別出的風(fēng)險和機會進行相應(yīng)管理。審核范圍與控制的有效性檢查；在內(nèi)部審核的范圍內(nèi)，應(yīng)對已實施的控制措施的有效性進行檢查；在設(shè)計審核方案時，應(yīng)確保覆蓋所有必要的控制措施，并評估這些控制措施隨時間的有效性。審核員的選擇與能力要求；組織應(yīng)明確審核員的能力要求，并選擇具備相應(yīng)能力的內(nèi)部或外部審核員；需要制定適當?shù)倪^程來監(jiān)視審核員和審核組的績效；審核組中應(yīng)有人員具備特定的行業(yè)知識和信息安全知識；在選擇審核員時，應(yīng)考慮其能力、獨立性和接受的培訓(xùn)情況；對于小公司而言，如果內(nèi)部沒有必要的資源和能力，可以考慮指派外部審核員。當使用外部審核員時，應(yīng)確保他們充分了解組織的環(huán)境；在建立審核組時，應(yīng)綜合考慮內(nèi)部和外部審核員的特點和可能存在的缺陷。審核的實施與評審過程。在實施審核時，審核組長應(yīng)考慮以往的審核結(jié)果，并跟蹤以往報告中提到的不符合項和不可接受的風(fēng)險，以此為基礎(chǔ)制定審核計劃；審核組應(yīng)對過程和所確定的控制的充分性和有效性進行評審，包括信息安全目標的實現(xiàn)情況、與ISO/IEC27001-2016定義的要求的符合性、組織自身信息安全要求的符合性、適用性聲明與信息安全風(fēng)險處置過程結(jié)果的一致性，以及管理評審的輸入和輸出的相關(guān)性等。審核結(jié)果的處理與跟進審核結(jié)果對控制有效性的影響：當測量方法被證實有效時，信息安全管理體系（ISMS）對控制有效性的監(jiān)視范圍和可靠性，能夠成為審核員評估工作的有力支持，從而減少其個人的評估工作量。這意味著，一個健全且運行良好的ISMS能夠為審核過程提供準確的數(shù)據(jù)和證據(jù)，幫助審核員更高效地評估控制的有效性；審核結(jié)果中不符合項的處理；如果在審核過程中發(fā)現(xiàn)了不符合項，受審方應(yīng)當針對每一個不符合項制定相應(yīng)的糾正措施計劃，并與審核組長就這些計劃達成一致。這確保了受審方能夠明確了解并承擔起糾正不符合項的責(zé)任；包含審核結(jié)果的審核報告應(yīng)當發(fā)送給組織的最高管理者，以便其全面了解審核情況，包括發(fā)現(xiàn)的不符合項以及相應(yīng)的糾正措施計劃。這有助于確保組織高層對ISMS的有效性和符合性保持關(guān)注，并提供必要的支持和資源。審核方案的調(diào)整與優(yōu)化：組織應(yīng)當對之前的審核結(jié)果進行評審，并根據(jù)評審結(jié)果調(diào)整審核方案。這樣做的目的是更好地管理那些因不符合項而面臨更高風(fēng)險的區(qū)域。通過調(diào)整審核方案，組織可以確保將更多的資源和關(guān)注投入到關(guān)鍵風(fēng)險領(lǐng)域，從而提高ISMS的整體有效性和符合性。這種持續(xù)的改進和優(yōu)化是ISO/IEC27001標準所倡導(dǎo)的重要原則之一。保留成文信息組織應(yīng)保留成文信息，作為實施審核方案以及審核結(jié)果的證據(jù)，包括：審核計劃：包括審核的目的、范圍、時間表和資源分配；審核檢查表：詳細列出要審核的具體項目或問題，以及對應(yīng)的審核標準或要求；審核記錄：記錄審核過程中的所有發(fā)現(xiàn)，包括符合和不符合審核標準的觀察結(jié)果，以及相關(guān)的證據(jù)和詳細信息；不符合項報告：詳細描述發(fā)現(xiàn)的不符合項，包括其性質(zhì)、原因、位置和可能的后果，以及建議的糾正措施和完成糾正措施的期限；審核結(jié)論報告：總結(jié)審核的主要發(fā)現(xiàn)，包括整體的符合性情況、主要的不符合項和改進建議，以及任何需要組織管理層關(guān)注的特定問題；糾正措施跟蹤記錄：記錄針對不符合項所采取的糾正措施，以及驗證糾正措施有效性的結(jié)果；審核員資格和培訓(xùn)記錄：證明審核員具備進行審核所需的資格和培訓(xùn)，包括審核員的資格證明、培訓(xùn)證書和培訓(xùn)記錄。管理評審總則管理評審目的最高管理者需要按照預(yù)先策劃的時間間隔，對組織的信息安全管理體系（ISMS）進行全面的評審。這種評審的核心目的是確保ISMS的持續(xù)適宜性和充分性。適宜性：要求ISMS能夠與組織的目標保持持續(xù)的一致性。ISMS應(yīng)當適應(yīng)組織的業(yè)務(wù)需求、戰(zhàn)略方向和外部環(huán)境的變化，確保信息安全管理與組織的整體目標不脫節(jié)；充分性：指ISMS應(yīng)當被合理設(shè)計，并且能夠完全融入組織的日常運營中。這要求ISMS不僅覆蓋所有關(guān)鍵的信息安全領(lǐng)域，還要確保其實施過程中能夠有效地驅(qū)動相關(guān)的過程和控制措施，從而形成一個完整、高效的管理體系。管理評審的實施方式與責(zé)任分配管理評審是一個涉及組織內(nèi)不同層級的過程，其實施方式多樣，可以是通過組織日常的部門會議進行，也可以是定期的報告討論。這種靈活性允許組織根據(jù)自身的情況和需求來定制管理評審的具體形式；組織的各個層級都需要為管理評審提供必要的輸入，確保評審的全面性和有效性；管理評審的責(zé)任落在最高管理者的肩上，他們應(yīng)對整個評審過程及其結(jié)果負最終責(zé)任，確保評審的權(quán)威性和執(zhí)行力。管理評審的定期性與頻次管理層應(yīng)當定期，至少每年一次，在管理會議上安排專門的日程和議題，對信息安全管理體系（ISMS）的所有方面進行全面的評審。這樣做的目的是確保ISMS的持續(xù)有效性、適宜性和與業(yè)務(wù)目標的對齊；對于新建的或尚未成熟的ISMS，管理層應(yīng)當增加評審的頻次。這是因為在新建或初期運行階段，ISMS可能面臨更多的挑戰(zhàn)和變化，需要更頻繁的監(jiān)測和調(diào)整以確保其有效性和性能的持續(xù)提升。通過增加評審頻次，管理層可以及時發(fā)現(xiàn)問題，采取必要的改進措施，從而加速ISMS的成熟和穩(wěn)定。管理評審輸入管理評審輸入項目管理評審輸子項目輸入項目涵義輸入信息來源(a)以往管理評審所采取措施的情況考慮歷次管理評審后制定的改進措施、實施情況及其效果。以往管理評審的記錄、改進措施跟蹤報告(b)內(nèi)外部因素變化評估外部和內(nèi)部環(huán)境的變化對ISMS的影響。外部環(huán)境分析報告、內(nèi)部變更記錄(c)相關(guān)方需求和期望的變化識別相關(guān)方對信息安全的需求和期望的變化。相關(guān)方溝通記錄、市場調(diào)研報告(d)信息安全績效的反饋及其趨勢(d.1)不符合和糾正措施收集有關(guān)不符合項及其糾正措施的信息。不符合項報告、糾正措施跟蹤記錄(d.2)監(jiān)視和測量結(jié)果分析信息安全監(jiān)視和測量的結(jié)果和趨勢。監(jiān)視和測量記錄、性能分析報告(d.3)審核結(jié)果評估內(nèi)部和外部審核的結(jié)果及其對ISMS的影響。審核報告、審核發(fā)現(xiàn)和改進建議(d.4)信息安全目標的實現(xiàn)程度衡量信息安全目標的實現(xiàn)情況，包括關(guān)鍵績效指標。信息安全目標報告、KPI分析(e)相關(guān)方反饋獲取和處理來自相關(guān)方的反饋。相關(guān)方反饋記錄、投訴處理記錄(f)風(fēng)險評估及處置匯報風(fēng)險評估結(jié)果及風(fēng)險處置計劃的執(zhí)行情況和效果。風(fēng)險評估報告、風(fēng)險處置計劃和監(jiān)控記錄(g)持續(xù)改進的機會識別和分析ISMS中存在的改進機會。改進建議報告、創(chuàng)新提案、行業(yè)最佳實踐管理評審輸出管理評審的輸出是評審過程的重要結(jié)果，它涵蓋了與信息安全管理體系（ISMS）相關(guān)的各項決議和改進措施。持續(xù)改進機會的決定：管理評審的輸出首先包括與持續(xù)改進機會相關(guān)的決定。這些決定是基于對ISMS的全面審查和分析，旨在識別并抓住那些能夠提升信息安全水平、增強體系有效性的改進點。ISMS變更需求：除了改進機會，輸出還應(yīng)包含任何有關(guān)變更信息安全管理體系的需求。這些需求可能源于外部法規(guī)或標準的更新、內(nèi)部業(yè)務(wù)流程的