用户投稿三、9.3 管理审查
管理审查涉及决策,也是维持整个管理系统持续改善的重要活动。先经由前面的监控量测及内部稽核了解管理系统的问题及效能,再透过定期审查机制确认需要改善或变更的地方。管理审查本身也是一种持续性的活动,不要误认管理审查就是定期每年一次经由高阶管理人员主持的会议或审查机制,每日简单回报或每周小型会议也可以是管理审查的一种,只要能够达到管理审查的目标,不需要拘泥任何形式,所以每年或每半年的管理审查是经由日积月累的审查堆叠而成。
进行管理审查是为了使ISMS能够持续保持适切、充分和有效的状态,以支持资讯安全。管理审查必须计划相关时间间隔,以策略的方式并在最高管理层级上执行,以最适合业务需求的方式一次或部分地覆盖所有要求的检讨。高阶管理人员应审查先前核定的作业实施、可能影响ISMS的重要内部和外部议题、资讯安全绩效以及持续改善机会,以便可以实施相关的调整和改善的机会。由于最高管理阶层的直接参与,管理审查是与ISMS持续性最相关的作业,并且必须记录来自管理审查的所有详细资讯和资料,以确保ISMS可以遵循组织的特定要求和整体策略方向。管理审查是ISMS的基本要素、是高阶管理人员审查ISMS有效性并确保其与组织策略方向保持一致的正式时机,因此必须按计划的时间间隔进行,并且整个计划审查(即一次会议或几次会议)必须至少覆盖9.3所要求的领域。召开一次涵盖整个要求项目的管理审查会议不是必须的,可以举行一系列会议,不同会议中可以有不同的输入项目。在管理审查中保留记录的必要资讯,必须包含所做的任何决定和所採取的行动的记录,最好是有责任分配和时间表。
管理审查是一种过程导向,以输入、审查及输出作为基本要素组成一个管理审查的过程。输入项目按照标準要求如下:
a)先前管理审查之措施的处理状态;
b)有关ISMS的外部与内部问题之变化;
c)资讯安全的绩效回馈,包含下列趋势分析:
d)利害关係者的回馈;
e)风险评鉴的结果与风险处理计画的状态;以及
f)持续改进的机会;
这些输入项目在审查时应针对资讯安全政策及目标进行对应阶层的审查,例如:高阶管理者以总结方式审查及评估所有输入项目,在经过审查之后会有输出的项目,应包含和持续改进机会、与ISMS的变更需求有关之决定,例如:
•资讯安全政策及目标的变更,例如利害关係者的需求变更。
•资讯安全风险评鉴的準则变更,例如接受準则变更。
•採取必要之行动,评估行动的效能。
•资源或预算的重新分配
•修订资讯安全风险处理计画及适用性声明
•监控及量测行动的持续改善
相关文件化资讯必须记录,如果管理审查区分不同主题分次进行,必须确认一定周期内将所有项目审查完毕。
微信扫一扫打赏
支付宝扫一扫打赏
