ISO27001管理评审程序

管理评审程序

1目的

为确保信息安全管理体系/IT服务管理体系持续的适宜性、充分性、有效性，对信息安全管理体系/IT服务管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。

信息安全体系： ISO27001体系

IT服务管理体系：ISO20000体系

2适用范围

本程序适用于最高管理者对信息安全管理体系/IT服务管理体系的评审。

3职责与权限

3.1 公司高管

主持召开管理评审大会；

批准《管理评审报告》

3.2 管理者代表

批准《管理评审计划》；

组织召开管理评审会；

组织撰写《管理评审报告》

3.3 主管体系建设部门

制定《管理评审计划》；

负责搜集并提供管理评审资料；

负责对评审后的纠正、预防措施进行跟踪和验证

3.4 各部门

准备、提供与本部门工作相关的评审所需资料；

负责实施管理评审中提出的相关的纠正、预防措施

4程序和工作流程

4.1 制定年度管理评审计划

4.1.1 年度管理评审计划

组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况，根据《IT服务管理手册》、《信息安全管理手册》以及ISO20000、ISO27001的标准要求，于每年年初（1月底之前）制定《年度管理评审计划》。

管理评审计划由管理者代表审批后方可生效。

4.1.2 年度管理评审计划的内容

管理评审计划的主要内容包括：审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。

4.1.3 管理评审的频次

管理评审一般每年进行一次，一般在同一年度最后一次内部审核完成后进行。也可根据需要安排。

当出现下列情况之一时可适当增加管理评审频次：

① 公司组织机构、服务范围、资源配置发生重大变化时；

② 发生重大IT服务事故/安全事故或用户关于IT服务/信息安全有严重投诉或投诉连

续发生时；

③ 当法律、法规、标准及其他要求有变化时；

④ 市场需求发生重大变化时；

⑤ 即将进行第二、三方审核时；

⑥ 审核中发现严重不合格时。

4.2 管理评审的准备

4.2.1《管理评审计划》

管理评审实施计划由主管体系建设部门组织制定。

主管体系建设的部门于每次管理评审前一个月编制《管理评审计划》，报管理者代表审批。计划主要内容包括：

① 评审时间；

② 评审目的；

③ 评审依据；

④ 评审内容；

⑤ 评审范围及评审重点；

⑥ 参加评审部门（人员）；

⑦ 各部门应该准备的资料以及提交时间。

4.2.2资料准备

预定评审前一周，主管体系建设的部门组织、指导、督促各部门完成本部门应该提交的资料，以书面形式向管理者代表汇报。管理者代表认为资料准备不全，信息不够充分的，主管体系建设的部门组织相关责任部门按照管理者代表的要求进一步补充完善。

4.3 管理评审输入

4.3.1IT服务管理体系管理评审输入

对于IT服务管理体系，管理评审输入应包括与以下方面有关的当前业绩和改进机会： ① IT服务方针、目标的适用性；

② IT服务管理体系的运行情况；

③ 近期内审结果报告；

④ 外部审核（包括第一方、第二方）情况汇报；

⑤ 纠正和预防措施执行情况的报告；

⑥ 上一次管理评审输出的落实情况；

⑦ 公司内、外部环境的变化情况；

⑧ 其他相关因素（如资源充分性、员工培训效果等）的报告；

⑨ 日常管理会议议题报告。

4.3.2 信息安全体系管理评审输入

对于信息安全管理体系，管理评审时主要应考虑如下内容：

① 信息安全方针的适宜性；

② 内部审核和外部审核结果；

③ 纠正和预防措施的实施情况；

④ 各信息系统安全运行情况；

⑤ 风险评估的结果与风险管理情况；

⑥ 有效性测量结果；

⑦ 相关方信息反馈；

⑧ 适用性声明的适用情况；

⑨ 安全事故与故障的处理情况；

⑩ 法律法规的符合性与法律法规要求的变化；

⑪ 改进的建议。

4.4 管理评审会议

管理评审会议召开前2～7天，会议组织者应向与会人员以书面或邮件形式发送《管理评审会议通知》，并整理与会人员的反馈，以确定与会人员的实际人数。

管理者代表主持管理评审会议，各部门负责人和有关人员对评审输入做出评价，对于发现的不合格或潜在的不合格项提出纠正和预防措施，确定责任人和整改时间。

管理者代表所涉及的评审内容做出结论（包括进一步调查、验证等）。

管理评审采取什么方式进行由管理者代表请示公司领导后决定，一般默认情况下以会议形式进行。

管理评审会议应指定专人做会议记录。

4.5 管理评审输出

管理评审的输出应包括以下方面有关的措施：

① IT服务管理体系/信息安全管理体系及其过程的改进，包括对IT服务方针/信息安

全方针、IT服务目标/信息安全目标、组织结构、过程控制等方面的评价；

② 与客户要求有关的产品的改进，对现有产品符合要求的评价，包括是否需要进行产

品、过程审核等与评审内容相关的要求；

③ 资源需求等。

本次管理评审的输出可以作为下次管理评审的输入。

4.6 管理评审报告

管理评审大会结束后，由体系主管部门根据管理评审输出的要求和管理评审大会的会议记录进行总结，在管理者代表的指导下撰写《管理评审报告》，经管理者代表审核，交领导批准后，发至相关部门并由主管体系建设的部门负责监控执行。

如果评审结果引起文件更改，应执行《文件控制程序》。

管理评审产生的相关的记录应由主管体系建设的部门按《记录控制程序》保管，包括管理评审计划、评审前各部门准备的评审资料、评审会议记录及管理评审报告等。

5相关支持性文件

《文件控制程序》

《记录控制程序》

《内部审核程序》

6相关记录

《管理评审计划》

《管理评审会议通知》

《管理评审报告》

《管理评审会议记录》

《年度管理评审计划》

ISO27001信息安全管理标准理解及内审员培训

培训热线：0755-25936263、25936264 李小姐 客服QQ：1484093445、675978375

ISO27001信息安全管理标准理解及内审员培训

下载报名表

内训调查表

【课程描述】

ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。

【课程帮助】

如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO27001内审员相关资料手册

【课程对象】

信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。

【课程大纲】

第一部分：ISO27001：2005信息安全概述、标准条款讲解

◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。

◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。

◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。

◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。

◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。

第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ◆ ISO27001与ISO9001、ISO14001的异同

◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件

◆ 如何将三体系整合降低公司的体系运行成本

◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

第三部分：信息安全管理体系内部审核技巧和认证应对案例分析

◆ ISO27001：2005标准对内审员的新要求

◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法

◆ 如何应对认证公司的认证审核、监督审核、案例分析

◆ 考试 >>> 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”

管理评审程序

1目的

为确保信息安全管理体系/IT服务管理体系持续的适宜性、充分性、有效性，对信息安全管理体系/IT服务管理体系、信息安全方针/服务方针和信息安全管理目标/服务目标进行定期评审，并保证与法律、法规、公司其他制度、原则性文件不相悖的前提下制定本程序。

信息安全体系： ISO27001体系

IT服务管理体系：ISO20000体系

2适用范围

本程序适用于最高管理者对信息安全管理体系/IT服务管理体系的评审。

3职责与权限

3.1 公司高管

主持召开管理评审大会；

批准《管理评审报告》

3.2 管理者代表

批准《管理评审计划》；

组织召开管理评审会；

组织撰写《管理评审报告》

3.3 主管体系建设部门

制定《管理评审计划》；

负责搜集并提供管理评审资料；

负责对评审后的纠正、预防措施进行跟踪和验证

3.4 各部门

准备、提供与本部门工作相关的评审所需资料；

负责实施管理评审中提出的相关的纠正、预防措施

4程序和工作流程

4.1 制定年度管理评审计划

4.1.1 年度管理评审计划

组织主管部门根据信息安全管理体系/IT服务管理体系的运营情况，根据《IT服务管理手册》、《信息安全管理手册》以及ISO20000、ISO27001的标准要求，于每年年初（1月底之前）制定《年度管理评审计划》。

管理评审计划由管理者代表审批后方可生效。

4.1.2 年度管理评审计划的内容

管理评审计划的主要内容包括：审核目的、审核范围、审核准则、审核组的组建、审核员的资质等的要求、审核的时间、参与评审的部门等。

4.1.3 管理评审的频次

管理评审一般每年进行一次，一般在同一年度最后一次内部审核完成后进行。也可根据需要安排。

当出现下列情况之一时可适当增加管理评审频次：

① 公司组织机构、服务范围、资源配置发生重大变化时；

② 发生重大IT服务事故/安全事故或用户关于IT服务/信息安全有严重投诉或投诉连

续发生时；

③ 当法律、法规、标准及其他要求有变化时；

④ 市场需求发生重大变化时；

⑤ 即将进行第二、三方审核时；

⑥ 审核中发现严重不合格时。

4.2 管理评审的准备

4.2.1《管理评审计划》

管理评审实施计划由主管体系建设部门组织制定。

主管体系建设的部门于每次管理评审前一个月编制《管理评审计划》，报管理者代表审批。计划主要内容包括：

① 评审时间；

② 评审目的；

③ 评审依据；

④ 评审内容；

⑤ 评审范围及评审重点；

⑥ 参加评审部门（人员）；

⑦ 各部门应该准备的资料以及提交时间。

4.2.2资料准备

预定评审前一周，主管体系建设的部门组织、指导、督促各部门完成本部门应该提交的资料，以书面形式向管理者代表汇报。管理者代表认为资料准备不全，信息不够充分的，主管体系建设的部门组织相关责任部门按照管理者代表的要求进一步补充完善。

4.3 管理评审输入

4.3.1IT服务管理体系管理评审输入

对于IT服务管理体系，管理评审输入应包括与以下方面有关的当前业绩和改进机会： ① IT服务方针、目标的适用性；

② IT服务管理体系的运行情况；

③ 近期内审结果报告；

④ 外部审核（包括第一方、第二方）情况汇报；

⑤ 纠正和预防措施执行情况的报告；

⑥ 上一次管理评审输出的落实情况；

⑦ 公司内、外部环境的变化情况；

⑧ 其他相关因素（如资源充分性、员工培训效果等）的报告；

⑨ 日常管理会议议题报告。

4.3.2 信息安全体系管理评审输入

对于信息安全管理体系，管理评审时主要应考虑如下内容：

① 信息安全方针的适宜性；

② 内部审核和外部审核结果；

③ 纠正和预防措施的实施情况；

④ 各信息系统安全运行情况；

⑤ 风险评估的结果与风险管理情况；

⑥ 有效性测量结果；

⑦ 相关方信息反馈；

⑧ 适用性声明的适用情况；

⑨ 安全事故与故障的处理情况；

⑩ 法律法规的符合性与法律法规要求的变化；

⑪ 改进的建议。

4.4 管理评审会议

管理评审会议召开前2～7天，会议组织者应向与会人员以书面或邮件形式发送《管理评审会议通知》，并整理与会人员的反馈，以确定与会人员的实际人数。

管理者代表主持管理评审会议，各部门负责人和有关人员对评审输入做出评价，对于发现的不合格或潜在的不合格项提出纠正和预防措施，确定责任人和整改时间。

管理者代表所涉及的评审内容做出结论（包括进一步调查、验证等）。

管理评审采取什么方式进行由管理者代表请示公司领导后决定，一般默认情况下以会议形式进行。

管理评审会议应指定专人做会议记录。

4.5 管理评审输出

管理评审的输出应包括以下方面有关的措施：

① IT服务管理体系/信息安全管理体系及其过程的改进，包括对IT服务方针/信息安

全方针、IT服务目标/信息安全目标、组织结构、过程控制等方面的评价；

② 与客户要求有关的产品的改进，对现有产品符合要求的评价，包括是否需要进行产

品、过程审核等与评审内容相关的要求；

③ 资源需求等。

本次管理评审的输出可以作为下次管理评审的输入。

4.6 管理评审报告

管理评审大会结束后，由体系主管部门根据管理评审输出的要求和管理评审大会的会议记录进行总结，在管理者代表的指导下撰写《管理评审报告》，经管理者代表审核，交领导批准后，发至相关部门并由主管体系建设的部门负责监控执行。

如果评审结果引起文件更改，应执行《文件控制程序》。

管理评审产生的相关的记录应由主管体系建设的部门按《记录控制程序》保管，包括管理评审计划、评审前各部门准备的评审资料、评审会议记录及管理评审报告等。

5相关支持性文件

《文件控制程序》

《记录控制程序》

《内部审核程序》

6相关记录

《管理评审计划》

《管理评审会议通知》

《管理评审报告》

《管理评审会议记录》

《年度管理评审计划》

ISO27001信息安全管理标准理解及内审员培训

培训热线：0755-25936263、25936264 李小姐 客服QQ：1484093445、675978375

ISO27001信息安全管理标准理解及内审员培训

下载报名表

内训调查表

【课程描述】

ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。

【课程帮助】

如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO27001内审员相关资料手册

【课程对象】

信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。

【课程大纲】

第一部分：ISO27001：2005信息安全概述、标准条款讲解

◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。

◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。

◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。

◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。

◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。

第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合） ◆ ISO27001与ISO9001、ISO14001的异同

◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件

◆ 如何将三体系整合降低公司的体系运行成本

◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

第三部分：信息安全管理体系内部审核技巧和认证应对案例分析

◆ ISO27001：2005标准对内审员的新要求

◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法

◆ 如何应对认证公司的认证审核、监督审核、案例分析

◆ 考试 >>> 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”