HYK-MS-205 管理评审控制程序.docVIP

第

第PAGE1页共NUMPAGES11页

深圳市企启信息科技有限公司

管理评审控制程序

文档编号：HYK-MS-205

版本信息：V1.0

创建人：信息安全与隐私安全小组

审核者：周静

批准人：黄伟

编制日期：2022年5月10日

批准日期：2022年5月10日

文件变更记录

版本

变更描述

日期

修订人

批准日期

批准人

V1.0

初始版本，文档建立

2022年5月10日

周静

2022年5月10日

黄伟

目录

TOC\o1-2\h\u217861.目的 4

42142.适用范围 4

233063.管理职责 4

155583.1总经理 4

278593.2管理者代表 4

204463.3行政部 4

134033.4相关部门 4

267424.工作流程 5

184674.1评审形式 5

48794.2评审时间 5

68174.3管理评审输入 5

62364.4管理评审的输出 6

147244.5评审内容 6

163704.6评审实施 7

10694.7管理评审输出 8

126355.相关支持文件 8

314576.本程序包含的人事记录 8

120477.本程序流程图 8

1.目的

确保公司信息安全及隐私信息管理体系持续的适宜性、充分性和有效性，满足ISO/IEC27001：2013/GB/T22080-2016以及ISO/IEC27701：2019标准的要求，并符合公司管理体系方针和管理体系目标的要求。

2.适用范围

适用于公司信息安全及隐私信息管理体系涉及的所有内容。

3.管理职责

3.1总经理

主持召开管理评审会议，并对管理体系方针、管理体系目标及持续改进进行决策。

3.2管理者代表

负责审核管理评审所涉及的有关文件、资料。

3.3行政部

负责管理评审的准备和实施工作，评审资料的收集、汇编以及评审后跟踪检查和验证工作。

3.4相关部门

负责提供评审需要输入的信息资料，并实施评审中提出的纠正或应对风险和机遇所采取措施的有效性。

4.工作流程

4.1评审形式

管理评审一般以会议的形式进行，必要时可采取现场评审与会议评审相结合的方式。

4.2评审时间

4.2.1管理评审一般一年至少进行一次，每次评审的时间间隔不得超过12个月。

4.2.2当发生（但不限于）下列情况时，总经理或管理者代表可安排提前进行管理评审或追加管理评审：

a.信息安全及隐私信息管理体系发生重大变化；

b.公司组织机构和人员发生重大变化；

c.信息安全及隐私信息发生重大问题；

d.市场发生重大变化；

e.顾客对产品信息安全及隐私信息问题有重大投诉；

f.其它认为有必要进行评审时。

4.3管理评审输入

为了评价信息安全及隐私信息管理体系的效率和有效性，管理评审的输入应包括以下方面的内容：

以往管理评审的跟踪措施的情况；

与信息安全及隐私信息管理体系相关的内外部因素的变化；

有关信息安全及隐私信息管理体系绩效和有效性的信息，包括其趋势：

体系运行的改进建议；

顾客满意和相关方的反馈意见；

各部门改进管理体系的技术、产品和程序；

风险评估未考虑的威胁和薄弱点；

信息安全及隐私信息目标的实现情况；

各部门相关的有效性测量、考核情况及建议；

不合格纠正措施的实施情况；

监视和测量结果；

审核结果；

外部供方的绩效；

资源的充分性；

应对风险和机遇所采取措施的有效性；

改进的机会。

4.4管理评审的输出

A.应形成系统的管理评审报告，内容包括：

B.改进的机会；

C.信息安全及隐私信息管理体系所需的变更；

D.资源需求。

以上保留相关成文信息。

4.5评审内容

4.5.1管理评审一般包括以下内容：

a.信息安全及隐私信息管理体系内部审核报告和第二方、第三方审核报告；

b.信息安全及隐私信息管理体系内部、外部因素变化情况；

c.管理体系方针、管理体系目标及其实施情况；

d.外部供方绩效；

e.相关方关注反馈的重要信息和收集顾客满意情况；

f.不合格纠正和预防等改进措施的实施情况；

g.过程、产品的人事合格趋势；

h.信息安全及隐私信息管理体系各项资源的配备等是否适宜；

i.信息安全及隐私信息管理体系要素及相应的文件是否需要修改；

g.信息安全及隐私信息管理体系的持续适宜性、充分性和有效性的评价；

4.5.2总经理根据管理评审的输入信息确定管理评审的内容和重点。

4.5.3信息安全的独立评审

4.5.3.1管理者宜启动独立评审。对于确保一个组织管理信息安全的方法持续适宜、充分有效，信息安全的独立评审是必要的。

评审宜包括评估安全方法改进的机会和变更的需要，包括策略和