2)内审的充分性、有效性，内部审核关于信息安全管理体系的符合性、有效性的结论；
a)信息安全管理体系文件的充分性和适宜性；
b)事故事件情况；
c)对重大危害因素和重要环境因素的控制情况；
d)目标、指标和管理方案的实现情况；
e)信息安全方针的适宜性；
f)整个信息安全管理体系的符合性、有效性和适宜性；
g)持续改进的意见。
年度报告及管理评审内容应包括：
1)信息安全管理体系相关文件变化；
2)方针、目标完成情况及有效性测量结果；
3)风险评估报告；
4)内部和外部信息安全管理体系审核结果；
5)纠正措施、预防措施实施报告；
6)顾客等相关方反馈；
7)实际运行的符合性；
8)事故统计及分析报告；
9)以往管理评审决定实施情况；
10)可能影响信息安全管理体系的内外部环境的变化；
信息安全管理领导小组对所汇报的内容进行评审并做出改进决定，并对评审结果及决策进行记录。
3)管理评审的输出应包括为实现持续改进的承诺而做出的，与信息安全方针、目标、指标以及其他信息安全管理体系要素的修改有关的决策和行动。如：
h)信息安全管理体系有效性的改进；
i)与顾客要求有关的服务的改进；
j)资源需求等。
1)组织结构、资源配置发生重大变化；
2)业务目标或业务运作流程发生重大变化；
3)信息安全法律、法规发生重大变化；
4)发生重大信息安全事件；
5)风险等级的划分和风险可接受水平发生变化；
6)其他不可预见情况需要时。
4.2.
信息安全工作小组根据评审内容进行内容收集工作，准备好评审必需的文件、资料等信息，并报体系负责人。各部门根据体系运行的情况形成《部门管理评审输入报告》做为评审会议的输入。
2)GB/T 22080-2016/ISO/IEC 27001:2013信息技术-安全技术-信息安全管理体系要求
3)GB/T 22081-2016/ISO/IEC 27002:2013信息技术-安全技术-信息安全管理实施细则
4)《纠正和预防措施控制制度》
5)《文件控制制度》
3.
1)信息安全管理领导小组：负责对信息安全管理体系进行管理评审，对体系的变更和修改进行决策。
5.
1)评审结束后，根据评审结论和决定，信息安全工作小组负责向有关单位下达“不符合纠正预防通知单”（参见《纠正和预防措施控制程序》），并对改进、纠正、纠正措施和预防措施的实施效果进行跟踪验证。各相关单位制定并实施相应的改进措施，及时完善信息安全管理体系，实现持续改进，不断提高信息安全管理水平。
2)不符合、纠正措施的实施按《纠正和预防措施控制程序》执行。
3)管理评审产生的相关记录和资料由信息安全工作小组负责收集、汇总和保存，具体按《记录控制程序》执行。
6.
序号
报告/记录名称
保管场所
期限
保存形式
备注
1
管理评审计划
总经办
3年
电子/纸质
2
各部门管理评审输入报告
总经办
3年
电子/纸质
3
会议签到表
总经办
3年
电子/纸质
4
管理评审报告
总经办
3年
电子/纸质
11)改进的建议。4.3.源自信息安全体系负责人负责在管理评审实施前编制《管理评审计划》，并得到信息安全管理领导小组的批准。
管理评审计划主要内容包括：
1)评审范围、内容及时间安排；
2)参加评审的单位和人员；
3)评审会议议程。
4.4.
信息安全管理体系负责人负责主持管理评审活动。
1)评审：与会人员在“会议签到表”上签字后，由体系负责人主持并介绍体系运行情况和内审情况：
2)体系负责人：负责组织召开管理评审会议，并向信息安全管理领导小组汇报信息安全管理体系的运行情况。
3)信息安全工作小组：负责管理评审材料的收集,并根据管理评审的决定，组织进行跟踪、验证实施效果。
4)行政部:负责管理评审相关材料的备案。
5)各部门：负责本部门提供评审材料。
4.
1.
2.
3.
4.
4.1.
公司按年度召开信息安全管理体系的管理评审会议，会议一般在内审及第三方审核之后召开，会议对前一年信息安全情况做出评审，评审结果作为下一年信息安全计划的输入。当发生下列情况时，信息安全管理领导小组可以临时决定增加管理评审。
管理评审控制程序
1.
为了确保现行信息安全管理体系的适宜性、充分性和有效性；现行信息安全管理体系持续有效地满足标准的要求；公司的信息安全方针和目标适应自身发展的需要，对信息安全管理体系进行评审，特制定本制度。
本制度适用于信息安全管理体系管理评审过程。
2.
1)下列文件中的条款通过本规定的引用而成为本规定的条款。凡是注日期的引用文件，其随后所有的修改单（不包括勘误的内容）或修订版均不适用于本标准，然而，鼓励各部门研究是否可使用这些文件的最新版本。凡是不注日期的引用文件，其最新版本适用于本标准。