1、11 管理评审与审核的区别管理评审与审核的区别1.1目的不同信息安全管理体系审核确定信息安全活动及其结果的符合性和有效性;管理评审就信息安全方针和目标对信息安全管理体系的适宜性、充分性、有效性和效率进行规律系统的评价。1.2依据不同信息安全管理审核的依据是信息安全管理标准和信息安全管理文件;管理评审的依据是受益者的需要和期望,通常在体系审核的基础上进行。21 管理评审与审核的区别管理评审与审核的区别1.3 1.3 层次不同层次不同信息安全管理审核控制信息安全活动及其结果符合方针目标要求,属战术性控制;管理评审控制方针、目标本身的正确性,属战略性控制。1.4 1.4 类型不同类型不同信息安全管理
2、审核可分为第一方、第二方、第三方三种类型:管理评审只有第一方。1.5 1.5 结果不同结果不同信息安全管理审核后的结果通常是:第一方是纠正不符合项,使体系更有效运行;第二方是使顾客信任,企业增加订单;第三方是使企业获得认证证书。管理评审的结果通常是:改进信息安全管理,修订信息安全手册和程序文件,提高信息安全管理水平和信息安全保证能力。31 管理评审与审核的区别管理评审与审核的区别1.6 1.6 执行者不同执行者不同信息安全管理审核由与被审核领域无直接责任的人员参加;管理评审由最高管理者亲自组织有关人员进行。1.7 1.7 工作地点不同工作地点不同信息安全管理审核是在工作现场完成;(现场)管理评
3、审可能是在办公室内进行。(桌面)42 2 管理评审的概念管理评审的概念ISO27001也要求,“最高管理者应按计划的时间间隔最高管理者应按计划的时间间隔评审信息安全管理体系,以确保其持续的适宜性、充评审信息安全管理体系,以确保其持续的适宜性、充分性和有效性,评审应评价组织信息安全管理体系变分性和有效性,评审应评价组织信息安全管理体系变化的需要,包括信息安全方针和信息安全目标化的需要,包括信息安全方针和信息安全目标”。ISO27001要求,“信息安全的执行管理层须按照预定信息安全的执行管理层须按照预定的时间表和程序定期进行信息安全管理和测试和或的时间表和程序定期进行信息安全管理和测试和或校准活动
4、的评审,以确保其持续适用性和有效性,并校准活动的评审,以确保其持续适用性和有效性,并进行必要的变更或改进进行必要的变更或改进”。52 2 管理评审的概念管理评审的概念信息安全管理体系评审:最高管理者的任务之一是就信息安全方针和信息安全目标,有规则地、系统地评价信息安全管理体系的适宜性、充分性、有效性和效率。这种评审可包括考虑修改信息安全方针和信息安全目标的需求以响应相关方需求和期望的变化。评审包括确定采取措施的需求。审核报告与其他信息源一同用于信息安全管理体系的评审。管理评审是在综合内部、外部各种信息的基础上,对信息安全管理本身所做的一种评价活动,也就是说,通过管理评审,可以得出现行的信息安全
5、管理是否持续适应内外在变化的要求、信息安全方针和信息安全目标是否仍对各项信息安全活动具有指导性作用的结论。62 2 管理评审的概念管理评审的概念管理评审是在信息安全管理审核的基础上进行的。(管理评审不仅要对信息安全管理有关要素进行审查,而且要对信息安全管理是否完善和持续有效、能否达到预定的信息安全目标、是否适应内外的各种变化进行检查。)ISMS执行管理层对信息安全管理进行定期的或经常的管理评审,有利于信息安全管理保持持续的有效和不断改进,坚持管理评审制度是执行管理层信息安全意识的表现之一,也是建立“活”的、动态的信息安全管理的重要手段之一73 3 管理评审的实施步骤管理评审的实施步骤 一般情况
6、下应定期进行管理评审,至少每12个月进行一次。管理评审应按规定的程序进行,做到有步骤、有计划地实施。通常可分为以下五步。1 制定管理评审计划2 管理评审的组织准备3 管理评审的实施 4 管理评审报告5 管理评审后的工作83 3 管理评审的实施步骤管理评审的实施步骤3.1 3.1 制定管理评审计划制定管理评审计划管理评审计划一般应包括:-评审目的:管理评审通常是为了对信息安全管理达到现行信息安全目标的适应性做出评价,对信息安全管理与内外在变化的适应性做出评价,修改信息安全管理文件,使信息安全管理更有效地运行。明确了管理评审的目的,管理评审工作就会更有实效。-评审组成员:以ISMS的执行管理层为主
7、,各部门的管理人员和审核人员等组成评审组。-评审时间:确定具体评审时间,发出通知,以便各有关部门做好评审的准备工作。管理评审一般在信息安全管理审核以后进行。93 3 管理评审的实施步骤管理评审的实施步骤3.1 3.1 制定管理评审计划制定管理评审计划评审内容:分析信息安全管理的符合性:对内部信息安全管理审核结果的分析,包括内部信息安全管理审核报告、纠正措施实施情况、内部信息安全管理审核工作的效果等。对信息安全管理等文件的分析,包括修改情况分析、补充情况分析、实施情况分析等。分析信息安全管理的有效性:包括结果信息安全情况,过程信息安全情况,信息安全方针是否得到有效贯彻,信息安全目标实现情况的分析
8、,客户投诉是否减少或得到满意的解决,是否针对客户投诉采取了有效的纠正和预防措施等。分析信息安全管理的适应性:对于出现的新情况来说,标准是否更改,技术手段、组织机构、客户要求等是否发生变化;对于出现的新需要来说,原来的体系是否有效,是否需要补充和修改。其他需要评审的事项:重要的纠正和预防措施是否适当,是否有其他重要的纠正和预防措施要批准,对体系的修改或补充是一否适当,是否有重要的修改或补充内容需要批准等。103 3 管理评审的实施步骤管理评审的实施步骤3.2 3.2 管理评审的组织准备管理评审的组织准备在管理评审的准备过程中应针对评审的内容进行实际情况的调查了解,做到有的放矢。也可由有关责任部门
9、准备专题文件或资料。如可能的话,可预先将涉及评审内容的有关文件或资料分发给参加评审的人员,以便他们有充分的时间准备意见。113 3 管理评审的实施步骤管理评审的实施步骤3.3 3.3 管理评审的实施管理评审的实施由执行管理层主持管理评审会议,同时各部门的负责人和有关人员参加对评审内容展开充分的讨论和评价。可以通过集体讨论或专题研讨的评审方法,达到评审的日的和要求;也可以将评审的项目和要求列成表格,并按某一评审标准逐一评价;同时可以采取调阅评审有关信息安全管理文件和记录、深人现场进行必要的专题或专项核查、对必要的过程、结果和活动的信息安全进行核查等方式来评审。评审后,应提交有关评审情况、结论和建
10、议的书面报告,以便执行管理层采取必要的措施。12管理评审输入材料管理评审输入材料1 1a)以往管理评审的措施状态;b)内、外部信息安全管理体系相关问题的变化;c)反馈信息安全管控的执行情况,包括如下趋势:1)不符合情况和改正措施2)监控和测量的结果;3)审核结果;4)信息安全目标实现情况;d)相关方的反馈;e)风险评估的结果和风险处置计划的状态;f)持续改进的时机。13管理评审输入材料管理评审输入材料2 2(1)内、外审报告及相关材料(2)信息安全负责人、技术负责人的报告(3)各部门负责人的报告(4)在以上报告中应包含输入材料1的内容,如不能包含,单独形成材料。143 3 管理评审的实施步骤管
11、理评审的实施步骤3.4 3.4 管理评审报告管理评审报告应由最高管理者签署,并在内部公布或分发至有关部门。管理评审报告的内容一般包括:-评审概况:包括进行本次管理评审的原因、目的、内容和实际做法、参加评审的人员、评审日期等;-对信息安全管理运行情况及效果的综合评价;-针对面临的新形势、新问题、新情况,信息安全管理存在的问题与原因;-关于采取纠正措施或预防措施的决定及要求;、-管理评审结论:管理评审一般应对以下三个问题做出综合性评价结论:信息安全管理各要素的评价结果;信息安全管理达到信息安全目标的整体效果;对信息安全管理随着新技术、信息安全概念、社会要求或环境条件的变化而进行修改的建议。管理评审
12、报告、资料和记录,要形成档案,妥善保存。15管理评审的输出管理评审的输出管理评审的输出应包括持续改进的时机和任何需要更改的信息安全管理体系的相关决定。应保留文档信息作为管理评审结果的证据。163 3 管理评审的实施步骤管理评审的实施步骤3.5 3.5 管理评审后的工作管理评审后的工作管理评审工作结束后,各有关部门应对评审报告中提出的纠正或预防措施要求制定相应的落实措施,同时也应审定纠正措施或预防措施并具体实施。应在适当的时候组织检查纠正措施和预防措施的实施情况,并验证其实施效果。174 4 管理评审中的注意事项管理评审中的注意事项 4.1 4.1 管理评审是执行管理层的重要职责。一般来说,高层
13、管理人员都应参加管理评审,并且就各自分管的职能活动中的重大问题提出报告,共同协商解决。4.24.2 管理评审包括但不限于以下活动:-组织结构的适应性,包括人员或其他资源的适应性;-与ISO/IEC 27001标准的符合性,以及信息安全管理实施的有效性;-与信息安全方针的一致性;-以客户反馈、内部反馈(如内部信息安全管理审核的结果)、工作特性、结果信息安全以及采取的纠正措施和预防措施为基础的信息。184 4 管理评审中的注意事项管理评审中的注意事项4.3 4.3 应认真计划管理评审的时间间隔,定期进行评审,以保证信息安全管理的持续适用性和有效性。4.4 4.4 管理评审过程、评审频次和输入取决于具体情况,要求管理评审的周期最大为12个月。4.5 4.5 管理层应在管理评审中特别注意可能引起问题的倾向,经常出现问题的区域尤其应重点考虑。所以管理评审必然是在大量数据统计分析的基础上才能进行,这与预防措施的采用可相互衔接。194 4 管理评审中的注意事项管理评审中的注意事项4.64.6 管理评审的依据是受益者的需要和期望,包括市场和客户需求、有关法规和标准的要求、领导和全体人员的期望。4.7 4.7 管理评审可能会导致对信息安全管理较为重大的调整和改进,这些要求和措施应及时执行,任何更改的有效性都应加以评价。4.84.8 管理评审应形成结论,以记录的形式妥善加以保存。