信息安全管理评审实施细则
总则
为使科技发展部信息安全管理体系的管理评审工作制度化、规范化，确保信息安全管理体系持续有效并不断改进，特制定本细则。
本细则适用于科技发展部对于信息安全管理体系的管理评审活动。
组织与职责
信息安全工作指挥小组负责对信息安全管理体系进行管理评审，并作出相应的管理评审决策。
科技发展部风险管理组负责组织信息安全管理评审活动，制订信息安全管理评审计划和报告，组织、监督、跟踪相关部门对管理评审所发现问题的改进。
各部门安全组负责本部门的信息安全管理评审的相关工作的监督与检查。
各部门负责提供相关信息安全管理评审输入材料，并实施与本部门相关问题的改进。
信息安全管理评审的频次
科技发展部每年至少进行一次信息安全管理评审。
出现以下情况时，可以依需要发起管理评审，增加评审频次：
外部审核前；
外部环境出现重大变化；
科技发展部组织架构出现较大调整；
重大信息安全事件的发生；
信息技术的重大变革；
威胁源发生显著变化。
信息安全管理评审的内容
信息安全管理评审应关注以下重点内容：
以往信息安全管理评审所提出问题的跟踪、改进情况；
信息安全管理体系内部审核或外部审核结果，重点关注其中发现的问题、问题处理和改进情况，各项规定是否需要修订等；
信息安全策略文件的执行结果，重点关注实际运行与策略文件要求的符合性，各项要求是否受控、是否需要改进或优化；
重大信息安全事件的处理和改进情况；
可能会影响信息安全管理体系的变化，如信息安全方针和目标的修订，组织机构的调整，资源是否满足信息安全管理体系的要求等；
针对各部门、行内协作方、第三方等人员进行的信息安全管理体系满意度调查的情况；
管理层关注的重点；
其他改进的建议。
信息安全管理评审的输入主要包括以下内容：
信息安全管理体系内部审核或外部审核的结果；
前一次管理评审所发现问题的改进情况；
信息安全纠正和预防措施的实施记录；
信息安全风险评估的结果和风险处置情况；
信息安全管理体系有效性测量的结果；
针对各部门、行内协作方、第三方等人员进行的信息安全管理体系满意度调查的结果；
可能影响信息安全管理体系变化的相关文件、资料。
信息安全管理评审应根据以下要求进行实施：
科技发展部风险管理组负责筹划管理评审活动，编制管理评审计划并上报信息安全工作指挥小组审批。在评审前，科技发展部风险管理组应向参加评审的人员下发管理评审计划，并负责管理评审文件与相关材料的准备。
管理评审会议由科技发展部总经理主持（可授权信息安全管理者代表主持），信息安全工作指挥小组成员参加评审。
在管理评审活动中，应根据上一阶段体系运行情况，评价信息安全管理体系的持续适应性、充分性和有效性，明确下一阶段或下一年度的改进方向和重点。
科技发展部风险管理组负责管理评审会议纪要的记录，并编制信息安全管理评审报告，经科技发展部总经理批准后向信息安全工作指挥小组成员发布。
信息安全管理评审的跟踪验证工作应遵循以下要求进行：
对于管理评审中所提出问题的改进，由信息安全管理者代表负责总体协调，科技发展部风险管理组负责组织相关部门进行改进；
需要采取改进措施的部门，应分析原因，提出切实具体的改进方法，根据要求落实改进措施；
科技发展部风险管理组负责督促、检查落实情况，对实施效果进行验证。
信息安全管理评审中所产生的记录文件，由信息风险科技管理组负责组织保存。
附则
本细则由科技发展部制定、修订和解释。
本细则自发布之日起生效。
附件一：
修订记录
日期(年月日)
版本
描述
作者
审批人
审批日期
20161017
1.0 发布稿
詹学文
乌传欣
20161104