管理评审在ISO IEC 27001: 2005中描述非常详细,分为7 1概述,7 2评审输入和7 3评审输出。但是在本版本中则变得简化多了。其实管理评审比较形式化,当然也非常重要,但是毕竟步骤清晰、目标明确,没有必要要求的太多, 只要管理层能批示信息安全管理体系的相关问题就行了。
管理评审就是最高管理者为评价管理体系的适宜性、充分性和有效性所进行的活动。 管理评审的主要内容是组织的最高管理者就管理体系的现状、适宜性、充分性和有效性以及方针和目标的贯彻落实及实现情况组织进行的综合评价活动