XXX
网络信息中心
安全评审管理制度
修订及复核记录
目录
第一章总则 (4)
第二章人员和职责 (4)
第三章内容 (4)
第四章检查表 (6)
第五章相关文件 (6)
第六章相关记录 (6)
第七章附则 (7)
附件一管理评审执行情况检查表 (7)
第一章总则
第一条本制度旨在对XXX信息中心信息安全体系的适宜性、充分性、有效性进行评审，使XXX信息中心信息安全管理体系不断地完善并持续有效的运行，不断满足XXX信息中心信息安全方针要求，实现XXX信息中心信息安全体系目标。

第二条本制度适用于XXX信息中心最高管理者对信息安全体系适宜性、充分性和有效性的审核和评价活动。

第二章人员和职责
第三条XXX信息中心信息安全管理委员会
（一）批准发布本制度；
（二）领导信息安全管理制度的评审；
第四条信息安全管理组
（一）组织编写并控制本制度；
（二）引导相关部门及人员落实本制度之要求；
第五条信息安全审核组
（一）负责对实施过程中存在的漏洞进行发现
（二）负责对实施效果进行验证。

第六条 XXX信息中心全体员工遵守本制度
第三章内容
第七条评审频次
通常情况下管理评审每年一次。

如遇重大信息安全问题、XXX网络信息中心组织架构变更、XXX网络信息中心业务发生重大调整，信息技术的重大变革、威胁源显著变化等情况则适当调整管理评审的次数。

第八条评审内容
管理评审应包括或涉及以下内容：
（一）体系建立前或体系上次修订前的综合情况；
（二）体系运行（修订）后的变化，包括体系运行效果与不足；
（三）信息安全方针、目标是否适应外部市场及内部环境的变化，实现情况如何，是否需要调整和修订；
（四）信息安全体系文件是否满足实际需要，是否需要修订；
（五）组织结构、资源（人员、技术、设备等）是否满足信息安全体系有效运行的需要，是否需要调整和增加资源投入；
（六）各项活动是否受控，是否需要改进。

第九条评审输入
信息安全管理体系管理评审输入包括但不限于：
（一）ISMS审核和评审的结果；
（二）相关方的反馈；
（三）组织用于改进ISMS业绩和有效性的技术、产品或程序；
（四）纠正和预防措施的实施情况；
（五）上次风险评估未充分指出的脆弱性或威胁；
（六）有效性测量的结果；
（七）上次管理评审所采取措施的跟踪验证；
（八）任何可能影响信息安全管理系统的变更；
（九）改进的建议。

第十条评审实施
（一）信息安全管理委员会根据XXX信息中心管理层要求，负责筹划管理评审并编制《管理评审计划》，在评审前xx天向参加评审的部门或人员下发《管理评审计划》，要求做好相应准备；
（二）由最高管理者或者信息安全管理委员会主持召开管理评审会议，并按《管理评审计划》中要求内容逐项审议。

（三）各部门按评审计划内容进行汇报和提交有关资料。

（四）XXX信息中心最高管理者/信息安全管理小组根据评审情况做出相应评定结论，包括：（五）对影响信息安全方针、目标及信息安全管理体系适宜性和有效性的问题，提出明确的改进要求；
（六）对所有活动所需资源予以确认与保证。

（七）信息安全管理组负责参加人员签到，记录评审过程的会议纪要并归档；
第十一条评审输出
（一）管理评审的输出应包括但不限于以下任何决定和措施：
（1）信息安全管理系统有效性的改进；
（2）更新风险评估和风险处置计划；
（二）必要时，修订影响信息安全的程序和控制措施，以反映可能影响信息安全管理系统的内外事件。

;
（三）包括以下方面的变化：
（1）业务要求；
（2）安全要求；
（3）影响现有业务要求的业务过程；
（4）法律法规要求；
（5）合同责任；
（6）风险等级和/或风险接受准则。

（7）资源需求；
（8）改进测量控制措施有效性的方式。

第十二条评审跟进
评审结果涉及到的需要采取改进/预防措施的部门，由部门负责人制定改进/预防措施，在评审报告明确规定的期限内落实改进/预防措施任务的完成情况。

信息安全审计组负责对实施效果进行验证。

第四章检查表
第十三条管理评审执行情况检查表
第五章相关文件
第十四条在每次开展管理评审活动时，必须事先制定完整的评审计划。

第六章相关记录
第十五条管理评审执行记录必须被及时归档，并置于相关信息安全保护措施之下，避免评审记录遭遇非法篡改及损坏。

第七章附则
第十六条本管理评审制度自发布之日起开始实施；
第十七条本管理评审制度的解释和修改权属于XXX网络信息中心；
第十八条 XXX网络信息中心每年统一检查和评估本管理规定，并做出适当更新。

在业务环境和安全需求发生重大变化时，也将对本管理评审制度进行检查和更新。

附件一管理评审执行情况检查表。