1. 目的和范围
2. 引用文件
3. 职责和权限
4. 活动描述
4.1. 管理评审周期
4.2. 管理评审内容
4.3. 管理评审计划
4.4. 评审实施
5. 持续改进
6. 相关记录
1. 目的和范围
为了确保现行信息安全管理体系的适宜性、充分性和有效性;现行信息安全管理体系持续有效地满足标准的要求;公司的信息安全方针和目标适应自身发展的需要,对信息安全管理体系进行评审,特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
4) 《纠正和预防措施控制制度》
5) 《文件控制制度》
3. 职责和权限
1) 信息安全管理小组:负责对信息安全管理体系进行管理评审,对体系的变更和修改进行决策。
2) 体系负责人:负责组织召开管理评审会议,并向信息安全管理小组汇报信息安全管理体系的运行情况。
3) 信息安全工作小组:负责管理评审材料的收集,并根据管理评审的决定,组织进行跟踪、验证实施效果。
4) 行政部: 负责管理评审相关材料的备案。
5) 各部门:负责本部门提供评审材料。
1. 目的和范围
2. 引用文件
3. 职责和权限
4. 内部组织及沟通
5. 与监管机构联系
6. 与特定利益集团联系
7. 项目管理中的信息安全
8. 笔记本电脑使用规定
9. 远程访问管理
9.1. 远程接入的用户认证
9.2. 远程接入的审计
10. 实施策略
11. 相关记录
1. 目的和范围
建立完善内外组织系统,保证内外部组织渠道的畅通,及时了解体系运行情况,确保体系有效运行,促进公司业务组织的安全管理制度。
本规定适用于公司业务组织的安全管理,包括:
1) 内部之间的组织;
2) 信息系统与外部系统之间的组织;
3) 与供应商、客户等相关单位和个人间的组织。
2. 引用文件
1) 下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励各部门研究是否可使用这些文件的版本。凡是不注日期的引用文件,其版本适用于本标准。
2) GB/T 22080-2016/ISO/IEC 27001:2013 信息技术-安全技术-信息安全管理体系要求
3) GB/T 22081-2016/ISO/IEC 27002:2013 信息技术-安全技术-信息安全管理实施细则
3. 职责和权限
1) 信息安全工作小组
内部沟通职责:维持内部的信息沟通;向公司内部人员传达与信息安全有关的法规资料及政策;接收内部人员对信息安全管理体系的意见并采取相应行动。
2) 信息安全工作小组成员:收集员工对信息安全方面的意见,并向信息安全工作小组组长反映;协助宣传及教育员工,使员工熟悉有关信息安全方面的知识。
3) 部门负责人:确保部门内容信息能及时有效沟通。对于公司内、外部所反馈的信息安全方面的意见、建议进行审查,不断的改进、完善信息安全管理体系。
(1) 信息安全管理方针、目标的适用性;
(2) 管理体系的审核结果,包括内审、外审结果及其它形式的审核结果;
(3) 相关利益方的反馈,包括客户的意见投诉、相关方的投诉或意见等;
(4) 用于改善信息安全管理体系性能和有效性的技术、产品和程序,包括信息安全管理方案的确定、执行等;
(5) 改进、预防和纠正措施的状况,包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的监控结果;
(6) 以前风险评估中没有充分表达的威胁和薄弱点,以及风险的重新评估;
(7) 以往管理评审跟踪措施的实施及有效性;
(8) 可能影响到信息安全管理体系的变更,包括部门组织结构、资源配置发生重大变化、信息安全技术发生变化、部门的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等;
(9) 改进建议。