江门ISO27001认证 ISO27000认证 专业认证 *服务申请流程

风险定期评估
1) 信息安全管理小组：负责组织至少每年一次的信息资产风险评估，以确定是否存在新的威胁或脆弱性及是否需要增加新的控制措施，各部门将风险评估结果汇总到信息安全管理小组。评估的结果将作为管理评审的输入内容之一。对发生以下情况需及时进行风险评估：
 当业务过程和活动发生重大调整或变化时；
 当发生重大信息安全事故时；
 当信息网络系统发生重大更改时；
 安委会小组确定有必要时。
2) 各部门按照本制度及时将本部门信息资产的变更汇总到信息安全管理小组。

1 管理评审计划
信息安全体系负责人负责在管理评审实施前编制《管理评审计划》，并得到信息安全管理小组的批准。
管理评审计划主要内容包括：
1) 评审范围、内容及时间安排；
2) 参加评审的单位和人员；
3) 评审会议议程。
2评审实施
信息安全管理体系负责人负责主持管理评审活动。
1) 评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：
2) 内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；
a) 信息安全管理体系文件的充分性和适宜性；
b) 事故事件情况；
c) 对重大危害因素和重要环境因素的控制情况；
d) 目标、指标和管理方案的实现情况；
e) 信息安全方针的适宜性；
f) 整个信息安全管理体系的符合性、有效性和适宜性；
g) 持续改进的意见。
信息安全管理小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。
3) 管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：
h) 信息安全管理体系有效性的改进；
i) 与顾客要求有关的服务的改进；
j) 资源需求等。

1. 管理评审周期
公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对**年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。当发生下列情况时，信息安全管理小组可以临时决定增加管理评审。
1) 组织结构、资源配置发生重大变化；
2) 业务目标或业务运作流程发生重大变化；
3) 信息安全法律、法规发生重大变化；
4) 发生重大信息安全事件；
5) 风险等级的划分和风险可接受水平发生变化；
6) 其他不可预见情况需要时。
2. 管理评审内容
信息安全工作小组根据评审内容进行内容收集工作，准备**审必需的文件、资料等信息，并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
年度报告及管理评审内容应包括：
1) 信息安全管理体系相关文件变化；
2) 方针、目标完成情况及有效性测量结果；
3) 风险评估报告；
4) 内部和外部信息安全管理体系审核结果；
5) 纠正措施、预防措施实施报告；
6) 顾客等相关方反馈；
7) 实际运行的符合性；
8) 事故统计及分析报告；
9) 以往管理评审决定实施情况；
10) 可能影响信息安全管理体系的内外部环境的变化；
11) 改进的建议。


http://iso9001fsc1.b2b168.com