扫码微信咨询
ISO27001认证管理者如何定期评审
2020-03-13
828
管理者应按计划的时间间隔(至少每年1次)评审组织的ISMS,以确保ISO27001体系持续的适宜性、充分性和有效性。评审应包括评估ISMS改进的机会和变更的需要,包括信息安全方针和信息安全目标。评审的结果应清晰地形成文件,记录应加以保持 。
管理评审的输入应包括:
a) ISMS 审核和评审的结果;
b)相关方的反馈;
c)组织用于改进 ISMS执行情况和有效性的技术、产品或程序;
d)预防和纠正措施的状况;
e)以往风险评估没有充分强调的脆弱点或威胁;
f)有效性测量的结果;
g)以往管 理评审的跟踪措施;
h)可 能影响ISMS的任何变更;
i)改进的建议。
2、评审输出
管理评审的输出应包括与以下方面有关的任何决定和措施:
a) ISMS 有效性的改进;
b)风险评估和风险 处理计划的更新;
c) 必要时修改影响信息安全的程序和控制措施,以响应内部或外部可能影响ISMS的事态,包括以下的变更:1)业务要求,2)安全要求,3)影响现有业务 要求的业务过程,4)法律法规环境,5) 合同义务,6)风险级 别和/或接受风险的准则,d)资源需求,e)如何测量控制措施有效性的改进。