編號(hào)：XXXXX-ISMS-XXXXX-XX-YYYYMMDDXXXXXXXX公司制度體系評審和修訂管理規(guī)定XXXX年XXX月L文件版本信息說明文件版本信息記錄本文件提交時(shí)的當(dāng)前有效的版本控制信息，當(dāng)前版本文件有效期將在新版本文檔生效時(shí)自動(dòng)結(jié)束。文件版本小于l.o時(shí)，表示該版本文件為草案，僅可作為參照資料之目的。版本號(hào)1.0發(fā)布時(shí)間XXX發(fā)布范圍XXX修訂時(shí)間XXX修訂內(nèi)容XXX備注發(fā)布之日起施行第一章總則第一條為了XXXX公司安全管理制度體系的持續(xù)性、時(shí)效性以及適應(yīng)性，滿足企業(yè)不斷變化的安全管理的需要，明確安全管理制度體系的評審和修訂過程中管理職責(zé)，特制定本規(guī)定。第二條本規(guī)定適用于XXXX公司安全管理制度體系評審和修訂過程以及相關(guān)人員。第二章管理職責(zé)第三條信息安全管理委員會(huì)，職責(zé)為：（一）負(fù)責(zé)安全管理制度體系的評審及修訂后復(fù)審工作。（二）確保安全管理制度體系能持續(xù)恰當(dāng)和有效地運(yùn)作。（三）提供充足的資源和支持，以持續(xù)改善安全管理制度體系。第四條信息部，職責(zé)為：（一）負(fù)責(zé)啟動(dòng)和主持安全管理制度體系的管理評審工作。（二）負(fù)責(zé)協(xié)調(diào)相關(guān)人員，指導(dǎo)收集評審資料。（三）確保評審會(huì)議所提出的行動(dòng)項(xiàng)目能在規(guī)定的時(shí)間內(nèi)完成，并負(fù)責(zé)其相關(guān)的監(jiān)督工作。（四）負(fù)責(zé)對評審結(jié)果如需進(jìn)行修訂項(xiàng)協(xié)調(diào)相關(guān)人員進(jìn)行修訂。（五）指派人員負(fù)責(zé)對修訂措施的執(zhí)行結(jié)果進(jìn)行驗(yàn)證。第五條相關(guān)人員，是指安全管理制度體系涉及的人員。比如:系統(tǒng)管理員、應(yīng)用管理員、開發(fā)管理人員、網(wǎng)絡(luò)管理員、數(shù)據(jù)管理員、資產(chǎn)管理員和安全管理員等，其職責(zé)為：（一）負(fù)責(zé)協(xié)助進(jìn)行評審。（二）負(fù)責(zé)實(shí)施修訂措施。第三章評審程序第六條定期（至少每年一次）開展安全管理制度體系的評審工作，以確保整個(gè)安全管理制度體系的充份性、適當(dāng)性和有效性。第七條安全管理制度體系評審內(nèi)容：（一）根據(jù)業(yè)務(wù)系統(tǒng)的性質(zhì)和安全要求，確定（或復(fù)審）安全管理制度體系的范圍，建立（復(fù)審）安全管理制度體系，包括信息安全策略、標(biāo)準(zhǔn)和程序。（二）對安全管理制度體系審核結(jié)果進(jìn)行評審，分析導(dǎo)致不符合項(xiàng)的原因。（三）審查審核對象的反饋信息。（四）總結(jié)已發(fā)現(xiàn)的安全事件和漏洞。（五）審查現(xiàn)行的安全控制措施和相關(guān)技術(shù)是否有效。（六）復(fù)查修訂措施的實(shí)施狀況。（七）檢查先前管理評審中所定義的措施的實(shí)施狀況。（A）審查改善措施的建議。（九）復(fù)查業(yè)務(wù)和法律法規(guī)方面的變更（比如：業(yè)務(wù)需求、客戶需求的變更和新頒布的法律法規(guī)）。（1）審查可能影響安全管理制度體系的任何變更。（十一）為協(xié)調(diào)相關(guān)信息安全的實(shí)施，評審相關(guān)資源的充足性。第八條評審工作必須至少每年舉行一次，發(fā)生以下情況時(shí)，也需要啟動(dòng)管理評審工作：（一）系統(tǒng)業(yè)務(wù)發(fā)生重大變更。（二）系統(tǒng)信息安全策略的重大變更。（三）目前安全管理制度體系的執(zhí)行不力。（四）系統(tǒng)安全管理制度體系的范圍發(fā)生變更。（五）相關(guān)標(biāo)準(zhǔn)法規(guī)發(fā)布修訂版本或有變更。第九條評審工作的會(huì)議記錄均需歸檔，以保存正式的記錄。第四章修訂程序第四章修訂程序第十條問題的識(shí)別及確認(rèn)，采取修訂措施可能由以下原因，包括但不限于：（一）來自系統(tǒng)安全管理制度體系相關(guān)人員的反饋信息或調(diào)查申請。（二）信息安全管理評審的會(huì)議討論中發(fā)現(xiàn)的問題。（三）安全管理制度體系的審核發(fā)現(xiàn)的不符合項(xiàng)。第十一條調(diào)查問題的起因：（-）由信息安全等級(jí)保護(hù)工作小組指派專門的人員負(fù)責(zé)對問題進(jìn)行分析調(diào)查并確認(rèn)問題的起因。（二）調(diào)查人員需提供盡可能多的關(guān)于整個(gè)問題調(diào)查的詳細(xì)結(jié)果。作為修訂措施報(bào)告的一部分，也可以提供一些額外的補(bǔ)充信息。第十二條執(zhí)行修訂措施：（一）基于所調(diào)查出的問題起因，需確認(rèn)并實(shí)施相應(yīng)措施或?qū)κ鹿蔬M(jìn)行調(diào)查研究，負(fù)責(zé)上述行動(dòng)的執(zhí)行者需確保更新任何相關(guān)的文件或管理流程。比如：a）準(zhǔn)備制定或更新相關(guān)管理程序。b）培訓(xùn)1/通知相關(guān)人員知曉。（二）執(zhí)行人員負(fù)責(zé)跟蹤所執(zhí)行修訂措施的效果。一旦發(fā)現(xiàn)效果不如預(yù)期，其相關(guān)負(fù)責(zé)人需進(jìn)行評估分析并就進(jìn)一步的應(yīng)對措施進(jìn)行確認(rèn)。執(zhí)行人員必須確保所實(shí)施的修訂措施是可證實(shí)和可驗(yàn)證的，并保證修訂措施的報(bào)告中都有詳細(xì)說明。第十三條措施的驗(yàn)證：（一）如果驗(yàn)證出所采取的措施是達(dá)到預(yù)期效果的，則修訂措施才算是成功，可以結(jié)束跟蹤，驗(yàn)證階段包括以下兩個(gè)部分：a）對所規(guī)定修訂措施的執(zhí)行程度進(jìn)行驗(yàn)證。b）對修訂措施的執(zhí)行效果進(jìn)行驗(yàn)證。（二）措施驗(yàn)證的結(jié)果必須中有詳細(xì)的說明，且對相關(guān)記錄進(jìn)行保存。第五章持續(xù)改進(jìn)第十四條為了保證本策略文件的時(shí)效性、可有性，必須根據(jù)相關(guān)審核規(guī)定進(jìn)行評審和修訂，修訂后重新發(fā)布。第六章附則第十五條本文件由信息部負(fù)責(zé)制定、解釋和修改。第十六條本文件自發(fā)布之日起生效