ISMS管理

1、介绍信息安全管理体系ISMS中的“管理”是指:.通过计划、组织、领导、控制等环节来协调人力、物力、财力等资源，以期有效达到组织信息安全目标的活动。

2、ISMS管理评审7.1 总则

管理层必须按计划的时间间隔（至少一年一次）评审ISMS，以确保其持续的合适性、充分性和有效性。评审必须包括评估ISMS的改进机会和变更需要，包括信息安全策略和信息安全目标。评审结果必须清楚地记入文件，并维护好。（见4.3.3）。

7.2 评审输入

管理评审的输入必须包括：

（a) ISMS审核和评审的结果；

（b) 相关方的反馈；

（c) 在组织中可以用来改善ISMS绩效和有效性的技术、产品或程序；

（d) 预防和纠正措施的实施情况；

（e) 上次风险评估未充分指出的弱点或威胁；

（f) 有效性测量的结果；

（g) 对上次管理评审后所采取措施进行验证的结果；

（h) 任何可能影响ISMS的变化；

（i) 改进建议。

7.3 评审输出

管理评审的输出必须包括与以下方面有关的任何决定和措施：

（a) ISMS有效性的改进；

（b) 更新风险评估和风险处置计划；

（c) 必要时，针对以下方面的变化和可能影响ISMS的内外部事件，修订促进信息安全的程序和控制：

（ 1) 业务要求；

（2) 安全要求；

（3) 实现现有业务要求的业务过程；

（4) 法律法规；

（5) 合同责任；

（6) 风险接受准则/风险接受水平。

（d) 资源需求；

（e） 改进测量控制措施有效性的方法。