信息安全管理体系之管理评审中的管理评审设计
2018-04-02 19:41:07 | 来源:中培企业IT培训网
1)管理评审设计
组织应定期对ISMS实施管理评审。当系统环境发生较大变化、组织机构发生重大变化或安全需求发生重大变化时,需要适时进行管理评审,并可临时缩短管理评审的周期。
管理评审由组织的管理高层亲自主导实施,通常以召开管理评审会议的方式进行。管理评审会议召开之前,应拟定参加会议的人员名单,并提前指定相关人员收集管理评审的各项输犬材料,管理评审输入材料至少应包括ISMS审核和评审的结果、相关方的反馈、组织用于改进ISMS执行情况和有效性的技术与产品和规程、预防和纠正措施的状况、以往风险评估没有充分强调的脆弱性和威胁、有效性测量的结果、以往管理评审的跟踪措施、可能影响ISMS 的任何变更以及改进ISMSt的任何建议,以确保输入材料的全面和客观。
评审包括评估ISMS改进的机会和变更的需要,包括评估信息安全方针和信息安全目标是否需要变更。管理评审活动应该形成管理评审输出,输出应包括以下方面的任何决定和措施:ISMS有效性的改进、风险评估和风险处置计划的更新、资源需求、有效性测量方法的改进、修改ISMS文件和控制措施以响应各种变化(应该关注的变化的范围是广泛的,包括业务需求、安全需求、业务过程、法律法规要求、合同义务、风险级别和风险可接收准则等方面的变化)。
- 上一篇:信息安全管理体系之管理评审
- 下一篇:信息安全管理体系之管理评审中的评审输入