信息安全管理体系的管理评审
发布时间:2009年05月21日点击数: 作者: 来源:ITGOV中国IT治理研究中心
【字体: 收藏 打印文章
摘要:
本书是我国信息安全管理领域的重要专著,为我国各类组织管理信息安全风险提供了最佳实践。它从标准释疑、实施和案例分析三方面入手,全面阐述了信息安全管理体系的全生命周期。文中全面介绍了ISO/IEC 17799(DS7799)这一全球公认的信息安全管理标准的产生、发展历程及其主要内容;深入阐述了实施信息安全管理的方法、步骤及应用软件;并首次批露我国企业实施BS7799的经验和教训;同时,“BS7799实施案例”重点从客户、咨询公司、厂商三个方面介绍了四个典型案例。 本书不仅适用于CEO、CIO、IT战备规划主管、CSO、政府和企业管理人员、IT咨询顾问,而且也是信息系统审计师和信息安全管理体系审核员的必备参考佳作,更可作为高等院核校从事信息安全管理教学研究的师生的参考文献。

 1.1.1 什么是管理评审   

   

管理评审主要是指组织的最高管理者按规定的时间间隔对信息安全管理体系进行评审,以确保体系的持续适宜性、充分性和有效性。管理评审过程应确保收集到必要的信息,以供管理者进行评价,管理者评审应形成文件。

管理评审应根据信息安全管理体系审核的结果、环境的变化和对持续改进的承诺,指出可能需要修改的信息安全管理体系方针、策略、目标和其他要素。

管理评审主要是ISMS管理体系PDCA运行模式的“A”处置阶段,是体系自我改进、自我完善的过程,其评价结果是下一轮PDCA运行模式的开始。

管理评审与体系审核是不同的,为了便于理解,表1-1对他们进行了比较:

 

   

1-1 ISMS体系审核与管理评审的比较

 

   

ISMS体系审核  

管理评审  

目的  

确保ISMS体系运行的符合性、有效性  

确保ISMS体系持续的适宜性、充分性、有效性  

类型  

第一方、第二方、第三方  

第一方  

依据  

BS7799标准、体系文件、法律法规  

法律法规、相关方的期望、ISMS体系审核的结论  

结果  

第一方:提出纠正措施,并跟踪实现
第二方:选择合适的合作伙伴  

第三方:导致认证、注册  

改进信息安全管理体系,提高信息安全管理水平  

执行者  

与被审核领域无直接关系的审核员  

最高管理者  

 

 1.1.2 管理评审的时机 

    1. 定期进行管理评审
      一般每年进行一次是适宜的。有的认证机构每半年有一次监督审核,因此企业可以每半年做一次管理评审
 

    2. 发生下列情况之一时,应适时进行管理评审
  l   新的信息安全管理体系进入正式运行时
  l 在第三方认证前
  l 企业内、外部环境发生较大变化时。如组织结构、产品结构有重大调整,资源有重大改变,标准、法律、法规发生变更。
  l 最高管理者认为必要时,如发生重大信息安全事故。
 

 1.1.3 管理评审计划 

    一般在评审前的3-4周,由信息安全管理经理编制“管理评审计划”,经总经理批准后下发至参加人员。管理评审计划包括以下内容:
    1. 评审目的:
  l 确保信息安全体系的持续适宜性、充分性、有效性。
  识别改进的机会,确定变更的需要。
 

     2. 管理评审的内容
  l ISMS方针是否适宜?ISMS方针实现程度如何?是否需要更新ISMS控制目标与控制措施?
  l 现有的风险评估和风险控制过程是否适宜?风险的现有水平和现行控制措施是否有效?
  l 资源是否配置得当,能否满足实现ISMS方针和ISMS目标的要求?
  l 组织结构、管理职能是否合适和协调?活动及其相应文件是否需要修正?
  l 自前次管理评审以来所进行的内部审核和外部审核的结果的有效性。
  l ISMS绩效趋势;信息安全事故和事件的调查处理情况;纠正和预防措施实施情况。
  l 相关方的投诉、建议及其要求。
  l 信息安全管理体系适应环境变化的应变能力
  l 法规和其他要求的符合性状况如何?
  l 需要改进和加强的领域是什么?
 

     3. 评审方式
  l 管理评审由最高管理层负责。
  l 管理评审一般以会议的形式进行,会议由最管理者主持,相关部门负责人参加,与会者就评审输入的内容进行比较和评价。
 

     4. 评审的参加人员
 l 管理评审的主要实施者为最高管理层
 l 管理评审会议由总经理主持,信息安全管理经理协助
 l 各部门经理/主管参加管理评审
 l 总经理指定的其他人员
 

     5. 评审的时间安排
  l 组织根据实际情况,安排1-2天时间进行管理评审。
 

     6. 评审输入的准备
  l 管理评审前的要准备的材料。
 

 1.1.4 评审输入 

     评审输入包含在有关部门/人员准备的报告中,这些报告一般应在评审前2周交给信息安全管理经理。
    评审输入包括以下内容:
 l   内、外部信息安全管理体系审核的结果
 l ISMS方针、风险控制目标、风险控制措施的实施情况
 l 事故、事件调查处理情况
 l 事故、事件、不符合、纠正和预防措施实施情况
 l 相关方的投诉、建议及其要求。
 l 绩效评估报告;法规及其他要求符合性报告。
 l 来自信息安全管理经理的关于ISMS总体运行情况的报告;来自各部门经理关于局部有效性的报告。
 l 风险评估与风险控制状况的报告
 l 可能引起ISMS管理体系变化的企业内外部要素,如法律、法规的变化、机构人员的调整,市场的变化等。
 l 改进的建议。相关方特别是组织内员工改进文件、体系要素等方面的建议。
 

 1.1.5 召开管理评审会 

    管理评审一般以会议形式进行,由总经理主持
   1. 评审内容
  l 评审人员对所提交的报告进行逐项分析并就4.4.3(2)中的内容进行评价
 

    2. 总经理总结评审结果
 l 信息安全管理体系的适宜性、充分性、有效性的结论
 l 组织机构是否需要调整,信息安全管理体系及其要素是否需要改进?
 l ISMS文件是否需要修改?
 l 资源配备是否充足,是否需要调整增加?
 l ISMS风险是否需要调整更新?
 l 信息安全管理方针、目标、管理方案是否适宜?是否需要修改?
 l 提出相应的纠正与预防措施的要求
 

 1.1.6 评审输出 

     管理评审完成后,把评审结果输出形成评审报告。由信息安全经理编写出“管理评审报告”,经总经理批准后下发至各有关部门。 

    1. 管理评审报告的内容:
 l 评审的目的
 l 评审的日期
 l 组织人、参加人员
 l 评审内容
 l 评审结论(包括评审输出的内容)
 

    2. 评审结论涉及面:
 l 信息安全管理体系的适宜性、充分性和有效性的结论
 l 组织机构是否需要调整
 l 信息安全管理体系文件(主要指安全管理手册、程序文件)是否需要修改
 l 资源配备是否充足,是否需要调整增加
 l 信息安全方针、控制目标、控制措施是否适宜,是否需要修改
 l ISMS风险是否需要调整更新
 l 信息安全管理体系及其要素是否需要改进
 

 1.1.7 管理评审的后续管理 

     信息安全管理经理组织有关部门对管理评审中的纠正措施进行跟踪验证,验证的结果应记录并上报最高管理层及有关人员。
 

 1.1.8 管理评审的记录  

   管理评审的结果应予以记录并保存。如管理评审计划、各种输入报告、管理评审报告、纠正措施及其验证报告表等。 

  

京ICP备06004481号   Copyright 2002 - 2006 ITGov.org.cn, All Rights Reserved