【ISO27001 2013版信息安全管理评审全套资料】2018年最新企业内部管理体系审核资料汇编

2018年最新版本

ISO/IEC 27001:2013 信息安全管理体系之内部管理评审全套资

料

第一部分：内部管理体系管理评审程序（2-11页）

第二部分：管理评审报告（16-33页）

目录

1 目的 (5)

2 范围 (5)

3 术语和定义 (5)

4 职责 (5)

5 程序内容 (6)

6支持性文件 (10)

7记录 (10)

附表一：管理评审计划表 (11)

附表二：管理评审会议记录 (12)

附表三：纠正和预防措施记录表 (13)

附表四：管理评审会议签到表 (15)

信息安全管理体系管理评审管理程序

1 目的

通过编制信息安全管理体系管理评审程序文件，规范管理评审流程。通

过管理评审对公司信息安全管理体系（ISMS）的适宜性、充分性和有效性定期

进行评价，确保体系符合标准要求，持续改进，不断提高信息安全管理绩效水平。

2 范围

适用于公司信息安全管理体系（ISMS）的管理评审工作。

3 术语和定义

3.1 管理体系：组织为实现目标而建立政策、目标和过程的一组相互管理、相互作用的要素。

3.2 改进：提高业绩的活动。

3.3 评审：为实现已确定的目标，确定对象的充分性、适宜性和有效性。

4 职责

4.1 总经理

4.1.1 批准公司信息安全管理体系（ISMS）管理评审计划；

4.1.2 主持信息安全管理体系（ISMS）管理评审会议；

4.1.3 对信息安全管理体系（ISMS）的改进做出决策，批准信息安全管理体系（ISMS）管理评审报告及改进措施。

4.2..1 组织编写公司的“信息安全管理体系（ISMS）年度运行情况综合报告”。

4.2.2 组织落实管理评审中提出的改进措施。

4.3 体系组

4.3.1 组织公司各部门提供信息安全管理体系（ISMS）管理评审所需要的相关资料。

4.3.2 负责组织制定信息安全管理体系（ISMS）“管理评审计划”。

4.3.3 编写信息安全管理体系（ISMS）“管理评审报告”。

4.3.4 负责落实信息安全管理评审中提出的有关纠正措施和预防措施的实施效果验证。

4.4 公司各相关部门

按计划提交管理评审资料，负责落实信息安全管理体系（ISMS）管理评审中提出的有关纠正措施和预防措施的要求。

5 程序内容

5.1 工作程序

5.1.1 管理评审原则上每年进行一次，每两次评审时间间隔不得超过12个月。

5.1.2 在下列情况下，总经理批准可增加评审的频次：

（1）相关法律法规发生变化；

（2）公司所处的内外部环境发生重大变化；

（3）新技术、新项目、新工艺的出现；

（4）公司组织机构、产品、活动或服务的范围、资源配置发生重大变化；（5）公司发生重大事故；

（6）信息安全管理体系（ISMS）结构发生重大变化。

5.2.1 总经理决定评审后，信息安全管理负责人组织有关部门进行评审的准备。

5.2.2 管理者代表根据总经理的评审要求，组织编制本次“信息安全管理评审计划”，内容包括评审目的、时间、地点、内容、参加人员、评审依据、所需文件材料等，“管理评审计划”由总经理批准后实施。

5.2.3 管理者代表在评审前一周将“管理评审计划”按规定范围发给信息安全管理体系（ISMS）管理评审的部门和人员。

5.2.4 公司各部门按“管理评审计划”准备相关评审材料，内容包括：纠正和预防措施的实施情况（如各部门信息安全管理体系（ISMS）运行情况报告，需管理评审会议或领导解决的重大问题提纲）。

5.3 管理评审的输入

信息安全管理体系（ISMS）管理评审的输入包括：

a）以往管理评审要求采取措施的状态；

b）与信息安全管理体系相关的内部和外部问题的变化；

c）信息安全绩效有关的反馈，包括下列趋势性信息：

1）不符合和纠正措施；

2）审核结果；

3）信息安全目标完成情况；

4）监视和测量结果。

d）相关方的反馈；

e）风险评估结果及风险处置计划的状态；

f）持续改进的机会。