信息安全管理体系之管理评审中的管理评审设计

1)管理评审设计

组织应定期对ISMS实施管理评审。当系统环境发生较大变化、组织机构发生重大变化或安全需求发生重大变化时，需要适时进行管理评审，并可临时缩短管理评审的周期。

管理评审由组织的管理高层亲自主导实施，通常以召开管理评审会议的方式进行。管理评审会议召开之前，应拟定参加会议的人员名单，并提前指定相关人员收集管理评审的各项输犬材料，管理评审输入材料至少应包括ISMS审核和评审的结果、相关方的反馈、组织用于改进ISMS执行情况和有效性的技术与产品和规程、预防和纠正措施的状况、以往风险评估没有充分强调的脆弱性和威胁、有效性测量的结果、以往管理评审的跟踪措施、可能影响ISMS 的任何变更以及改进ISMSt的任何建议，以确保输入材料的全面和客观。

评审包括评估ISMS改进的机会和变更的需要，包括评估信息安全方针和信息安全目标是否需要变更。管理评审活动应该形成管理评审输出，输出应包括以下方面的任何决定和措施：ISMS有效性的改进、风险评估和风险处置计划的更新、资源需求、有效性测量方法的改进、修改ISMS文件和控制措施以响应各种变化（应该关注的变化的范围是广泛的，包括业务需求、安全需求、业务过程、法律法规要求、合同义务、风险级别和风险可接收准则等方面的变化）。