信息安全管理评审规定
总则
为规范对科技发展部信息安全体系的适宜性、充分性、有效性进行评审，使科技发展部信息安全管理体系不断地完善并持续有效运行，满足科技发展部信息安全方针要求，实现科技发展部信息安全管理目标，特制定本规定。
本规定适用于科技发展部职责范围内的信息安全体系适宜性、充分性和有效性进行的审核和评价。
术语和定义
本规定采用GB/T 22080-2008/ISO/IEC 27001:2013、GB/T 22081-2008/ISO/IEC 27002:2013的定义和缩写，本规定中需补充说明的定义和缩写如下：
（一） 管理评审：最高管理者应按策划的时间间隔评审信息安全管理体系，以确保其持续的适宜性、充分性和有效性。评审应包括评价信息安全管理体系改进的机会和变更的需要，包括信息安全方针和目标。
组织与职责
科技发展部信息安全工作指挥小组负责对信息安全体系进行管理评审、作出相应的管理评审决策。
科技发展部风险管理组负责本规定的制定、解释和修改、组织管理评审、制定管理评审计划、有效性测量结果的审核。
各部门安全组负责本部门的管理评审相关工作的检查与审核；
各部门负责讨论、提供、审核管理评审的输入、参加管理评审、管理评审发现问题的整改、提供体系运行状况报告、收集相关方的反馈、有效性度量结果的收集。
管理评审规定
科技发展部信息安全管理体系管理评审每年一次，风险评估和处置、体系度量和内部审核等活动应安排在管理评审之前完成。如遇重大信息安全问题、科技发展部组织架构变更、科技发展部业务发生重大调整、信息技术的重大变革、威胁源显著变化等情况，也应酌情举行管理评审。
评审内容
（一） 体系建立前或体系上次修订前的综合情况。
（二） 体系运行、修订后的变化，包括体系运行效果。
（三） 信息安全方针、目标是否适应外部市场及内部环境的变化，实现情况如何，是否需要调整和修订。
（四） 信息安全管理体系文件是否满足实际需要，是否需要修订。
（五） 组织结构、资源（人员、技术、设备等）是否满足信息安全管理体系有效运行的需要，是否需要调整和增加资源投入。
（六） 各项活动是否受控，是否需要改进。
评审输入
信息安全管理体系管理评审输入包括但不限于：
（一） ISMS审核和评审的结果；
（二） 相关方的反馈；
（三） 体系实施过程中的文件修订；
（四） 用于改进组织ISMS绩效和有效性的方法、产品或者流程制度；
（五） 纠正和预防措施的实施情况；
（六） 上次风险评估中没有发现的弱点和威胁；
（七） 有效性测量的结果；
（八） 上次管理评审所采取措施的跟踪验证；
（九） 任何可能影响ISMS的变化，可能包括：
1. 业务要求；
2. 安全要求；
3. 影响现有业务要求的业务过程；
4. 法律法规要求；
5. 合同责任；
6. 风险评估方法或风险接受标准；
7. 资源需求；
8. 改进测量控制措施有效性的方法。
评审实施
（一） 科技发展部风险管理组根据科技发展部信息安全工作指挥小组要求，负责筹划管理评审并编制管理评审计划，在评审前向参加评审的部门或人员下发管理评审计划，要求做好相应准备。
（二） 由科技发展部信息安全工作指挥小组组长主持召开管理评审会议，并按管理评审计划中所列内容逐项审议。
（三） 各部门按评审计划内容进行汇报和提交有关资料。
（四） 科技发展部信息安全工作指挥小组根据评审情况做出相应评定结论，包括：对影响信息安全方针、目标及信息安全管理体系适宜性和有效性的问题，提出明确的改进要求；对所有活动所需资源予以确认与保证。
（五） 科技发展部风险管理组负责记录评审过程的会议纪要并归档。
管理评审的输出应包括但不限于以下决定和措施：
（一） ISMS有效性的改进；
（二） 更新风险评估和风险处置计划；
（三） 必要时，修订影响信息安全的规定和控制措施，以反