5管理评审程序.doc

管理评审程序 管理评审程序 1 目的 公司技术中心应按策划的时间间隔评审信息安全管理体系,确保现行信息安全管理体系的适宜性、充分性和有效性,以确保信息安全管理体系持续有效地满足标准的要求,确保本公司技术中心信息安全方针和目标适应公司技术中心发展的需要。 2 范围 信息安全管理体系 3 职责 各相关部门 4 作业流程 流 程 权责部门 重点提示 相关文件及表单 管理评审计划 管理者代表 ·管理者代表决定，信息安全管理委员会批准 ·管理者代表通知各部门主管 ·决定会议时间、地点及评审事项 E-mail 管理评审准备 管理者代表 各部门 ·相关人员准备所需文件资料，管理者代表将资料统一汇总 管理评审输入资料 管理评审会议 管理者代表 相关权责部门 ·主持：管理者代表 ·成员：各部门主管 ·会议记录保存：行政项目及流程管理部 会议记录 会 议 总 结 管理者代表 相关部门 ·宣布决议事项 ·持有评审资料 会议记录 决议事项执行、改善 追踪、效果确认 管理者代表 相关部门 纠正和预防措施管理程序 NG ·执行：相关部门 ·管理者代表：追踪考核 文件管理程序 记录管理程序 资料处理、记录维护 OK 人事行政部 ·评审：管理者代表 ·保存：项目及流程管理部人事行政部 5 作业内容 5.1 管理评审委员会由信息安全管理委员会、管理者代表及各部门主管共同组成。 5.2 管理评审委员会依评审范围对信息安全管理体系审查，并依≪纠正和预防措施控制程序≫执行改善事项。 5.3 管理者代表通过管理评审的进行，促使本公司技术中心全体员工确实遵守信息安全管理手册中相关作业程序的规定。并依据纠正措施整理相关绩效报告，呈报信息安全管理委员会。 5.4 评审频率： 5.4.1在体系导入初期的文件试行阶段，应进行临时性的管理评审会议，以加强文件审查及信息安全管理体系审核成效核对与改善追踪。 5.4.2在体系正式实施运作后，配合≪内审管理程序≫的实施，每年至少召开一次管理评审会议，两次间隔时间不超过12个月。 5.4.3如有重大信息安全事故或公司经营发生重大变革，由信息安全管理委员会核准召开临时性的管理评审会议。 重大事项有： A． 方针、目标修改时； B． 公司技术中心组织机构调整时； C． 体系文件重大修改或补充时； D． 发生重大信息安全事故或重要客户多次投诉、退货时。 5.5评审事项 5.5.1 信息安全体系运作时，信息安全文件、方针、目标的适合性、有效性及充分性的达成状况的检讨； 5.5.2 公司技术中心内部、外部信息安全审核成效核对和问题点改善追踪； 5.5.3 重大信息安全异常事件的检讨及可能影响到信息安全管理体系的更改； 5.5.4 客户反馈事项； 5.5.5 上次管理评审后的问题点改善成效确认； 5.5.6 过程业绩和产品符合性； 5.5.7 预防和纠正措施的状态； 5.5.8以往风险评估没有充分强调的脆弱性或威胁； 5.5.9信息安全有效性量的结果； 5.5.10 改进的建议。 5.6决议事项 5.6.1 对信息安全管理体系及其过程有效性的改进的决策和措施； 5.6.2 与客户要求有关的产品的改进的决策和措施； 5.6.3 资源要求。 5.6.4更新风险评估和风险处理计划； 5.6.5必要时，修订影响信息安全的程序和控制措施，以反映可能影响ISMS的内外事件，包括以下方面的变化： 1) 业务要求； 2) 安全要求； 3) 影响现有业务要求的业务过程； 4) 法律法规要求； 5) 合同责任； 6) 风险等级和（或）风险接受准则。 5.6.6改进测量控制措施有效性的方式。 6 相关记录 《管理评审计划》 《管理评审测量表》 《管理评审会议记录》 《管理评审报告》 第 2 页 共 4 页