1、XXX網(wǎng)絡(luò)信息中心安全評審管理制度文件編號XXX使用部門網(wǎng)絡(luò)信息中心維護人初版日期XXX-12-15修訂日期2012-01-11修訂及復核記錄修訂記錄版次起草復核批準發(fā)行日期摘要審核欄條目姓名審核日期批準復核起草第一章 總 則 4第二章 人員和職責4第三章 內(nèi) 容 4第四章 檢查表 6第五章 相關(guān)文件 6第六章 相關(guān)記錄 6第七章 附 則 7附件一 管理評審執(zhí)行情況檢查表7第一章 總 則第一條本制度旨在對XXX信息中心信息安全體系的適宜性、充分性、有效性進行評審， 使XXX®息中心信息安全管理體系不斷地完善并持續(xù)有效的運行，不斷?f足XXX信息中心信息 安全方針要求，實現(xiàn)XXX信息中

2、心信息安全體系目標。第二條本制度適用于XXX信息中心最高管理者對信息安全體系適宜性、充分性和有效性 的審核和評價活動。第二章 人員和職責第三條XXX®息中心信息安全管理委員會（1） 批準發(fā)布本制度；（2） 領(lǐng)導信息安全管理制度的評審；第四條信息安全管理組（1） 組織編寫并控制本制度；（2） 引導相關(guān)部門及人員落實本制度之要求；第五條信息安全審核組（一）負責對實施過程中存在的漏洞進行發(fā)現(xiàn)（二）負責對實施效果進行驗證。第六條 XXX 信息中心全體員工遵守本制度第三章 內(nèi) 容第七條 評審頻次通常情況下管理評審每年一次。如遇重大信息安全問題、XXXR絡(luò)信息中心組織架構(gòu)變更、 XXX網(wǎng)絡(luò)信息中

3、心業(yè)務(wù)發(fā)生重大調(diào)整，信息技術(shù)的重大變革、威脅源顯著變化等情況則適當調(diào) 整管理評審的次數(shù)。第八條 評審內(nèi)容管理評審應(yīng)包括或涉及以下內(nèi)容：（一）體系建立前或體系上次修訂前的綜合情況；（二）體系運行（修訂）后的變化，包括體系運行效果與不足；（三）信息安全方針、目標是否適應(yīng)外部市場及內(nèi)部環(huán)境的變化，實現(xiàn)情況如何，是否需要調(diào)整和修訂；（四）信息安全體系文件是否滿足實際需要，是否需要修訂；（五）組織結(jié)構(gòu)、資源（人員、技術(shù)、設(shè)備等）是否滿足信息安全體系有效運行的需要，是否需要調(diào)整和增加資源投入；（六）各項活動是否受控，是否需要改進。第九條 評審輸入信息安全管理體系管理評審輸入包括但不限于：（一）ISMS審核

4、和評審的結(jié)果；（二）相關(guān)方的反饋；（三）組織用于改進ISMS業(yè)績和有效性的技術(shù)、產(chǎn)品或程序；（四）糾正和預防措施的實施情況；（五）上次風險評估未充分指出的脆弱性或威脅；（六）有效性測量的結(jié)果；（七）上次管理評審所采取措施的跟蹤驗證；（八）任何可能影響信息安全管理系統(tǒng)的變更；（九）改進的建議。第十條 評審實施（一）信息安全管理委員會根據(jù)XXX信息中心管理層要求，負責籌劃管理評審并編制管理評審計劃，在評審前 xx 天向參加評審的部門或人員下發(fā)管理評審計劃，要求做好相應(yīng)準備；（二）由最高管理者或者信息安全管理委員會主持召開管理評審會議，并按管理評審計劃中要求內(nèi)容逐項審議。（三）各部門按評審計劃內(nèi)容進

5、行匯報和提交有關(guān)資料。（四）XXX信息中心最高管理者/信息安全管理小組根據(jù)評審情況做出相應(yīng)評定結(jié)論，包括:（五）對影響信息安全方針、目標及信息安全管理體系適宜性和有效性的問題，提出明確的改進要求；（六）對所有活動所需資源予以確認與保證。（七）信息安全管理組負責參加人員簽到，記錄評審過程的會議紀要并歸檔；第十一條 評審輸出（一）管理評審的輸出應(yīng)包括但不限于以下任何決定和措施：（ 1）信息安全管理系統(tǒng)有效性的改進；（ 2）更新風險評估和風險處置計劃；（二）必要時，修訂影響信息安全的程序和控制措施，以反映可能影響信息安全管理系統(tǒng)的內(nèi)外事件。 ;（三）包括以下方面的變化：(1)業(yè)務(wù)要求；(2)安全要求

6、；(3)影響現(xiàn)有業(yè)務(wù)要求的業(yè)務(wù)過程；(4)法律法規(guī)要求；(5)合同責任；(6)風險等級和/或風險接受準則。(7)資源需求；(8)改進測量控制措施有效性的方式。第十二條評審跟進評審結(jié)果涉及到的需要采取改進/預防措施的部門，由部門負責人制定改進/預防措施，在 評審報告明確規(guī)定的期限內(nèi)落實改進/預防措施任務(wù)的完成情況。信息安全審計組負責對實施 效果進行驗證。第四章檢查表第十三條管理評審執(zhí)行情況檢查表任務(wù)編號檢查點檢查內(nèi)容檢查方法檢查周期1評審輸入檢查對照管理評審報告的輸 入和制度規(guī)定的輸入要 求查閱文檔每月2管理評審的輸出文 檔是否包括有效性的改進， 更新風險評估和風險處 置計劃等要點查閱文檔每月3檢查安全審計組對 需要采取改進/預 防措施的實施效果 的驗證結(jié)果檢查改進/預防措施的實 施效果查閱文檔每半年第五章相關(guān)文件第十四條在每次開展管理評審活動時，必須事先制定完整的評審計劃第六章相關(guān)記錄第十五條 管理評審執(zhí)行記錄必須被及時歸檔，并置于相關(guān)信息安全保護措施之下，避免 評審記錄遭遇非法篡改及損壞。第七章附則第十六條 本管理評審制度自發(fā)布之日起開始實施；第十七條本管理評審制度的解釋和修改權(quán)屬于 XXX網(wǎng)絡(luò)信息中心；第十八條XXX網(wǎng)絡(luò)信息中心每年統(tǒng)一檢查和評估本管理規(guī)定，并做出適當更新。在業(yè)務(wù) 環(huán)境和安全需求發(fā)生重大變化時，也將對本管理評審制度進行檢查和更新。附件