ISO20000管理評審程式

管理評審程式

為確保資訊保安管理體系/it服務管理體系持續的適宜性、充分性、有效性，對資訊保安管理體系/it服務管理體系、資訊保安方針/服務方針和資訊保安管理目標/服務目標進行定期評審，並保證與法律、法規、公司其他制度、原則性檔案不相悖的前提下制定本程式。

資訊保安體系： iso27001體系

it服務管理體系：iso20000體系

本程式適用於最高管理者對資訊保安管理體系/it服務管理體系的評審。

主持召開管理評審大會；

批准《管理評審報告》

批准《管理評審計畫》；

組織召開管理評審會；

組織撰寫《管理評審報告》

制定《管理評審計畫》；

負責蒐集並提供管理評審資料；

負責對評審後的糾正、預防措施進行跟蹤和驗證

準備、提供與本部門工作相關的評審所需資料；

負責實施管理評審中提出的相關的糾正、預防措施

組織主管部門根據資訊保安管理體系/it服務管理體系的運營情況，根據《it服務管理手冊》、《資訊保安管理手冊》以及iso20000、iso27001的標準要求，於每年年初（1月底之前）制定《年度管理評審計畫》。

管理評審計畫由管理者代表審批後方可生效。

管理評審計畫的主要內容包括：審核目的、審核範圍、審核準則、審核組的組建、審核員的資質等的要求、審核的時間、參與評審的部門等。

管理評審一般每年進行一次，一般在同一年度最後一次內部審核完成後進行。也可根據需要安排。

當出現下列情況之一時可適當增加管理評審頻次：

1 公司組織機構、服務範圍、資源配置發生重大變化時；

2 發生重大it服務事故/安全事故或使用者關於it服務/資訊保安有嚴重投訴或投訴連續發生時；

3 當法律、法規、標準及其他要求有變化時；

4 市場需求發生重大變化時；

5 即將進行第

二、三方審核時；

6 審核中發現嚴重不合格時。

管理評審實施計畫由主管體系建設部門組織制定。

主管體系建設的部門於每次管理評審前乙個月編制《管理評審計畫》，報管理者代表審批。計畫主要內容包括：

1 評審時間；

2 評審目的；

3 評審依據；

4 評審內容；

5 評審範圍及評審重點；

6 參加評審部門（人員）；

7 各部門應該準備的資料以及提交時間。

預定評審前一周，主管體系建設的部門組織、指導、督促各部門完成本部門應該提交的資料，以書面形式向管理者代表匯報。管理者代表認為資料準備不全，資訊不夠充分的，主管體系建設的部門組織相關責任部門按照管理者代表的要求進一步補充完善。

對於it服務管理體系，管理評審輸入應包括與以下方面有關的當前業績和改進機會：

1 it服務方針、目標的適用性；

2 it服務管理體系的運**況；

3 近期內審結果報告；

4 外部審核（包括第一方、第二方）情況匯報；

5 糾正和預防措施執**況的報告；

6 上一次管理評審輸出的落實情況；

7 公司內、外部環境的變化情況；

8 其他相關因素（如資源充分性、員工培訓效果等）的報告；

9 日常管理會議議題報告。

對於資訊保安管理體系，管理評審時主要應考慮如下內容：

1 資訊保安方針的適宜性；

2 內部審核和外部審核結果；

3 糾正和預防措施的實施情況；

4 各資訊系統安全運**況；

5 風險評估的結果與風險管理情況；

6 有效性測量結果；

7 相關方資訊反饋；

8 適用性宣告的適用情況；

9 安全事故與故障的處理情況；

10 法律法規的符合性與法律法規要求的變化；

改進的建議。

管理評審會議召開前2～7天，會議組織者應向與會人員以書面或郵件形式傳送《管理評審會議通知》，並整理與會人員的反饋，以確定與會人員的實際人數。

管理者代表主持管理評審會議，各部門負責人和有關人員對評審輸入做出評價，對於發現的不合格或潛在的不合格項提出糾正和預防措施，確定責任人和整改時間。

管理者代表所涉及的評審內容做出結論（包括進一步調查、驗證等）。

管理評審採取什麼方式進行由管理者代表請示公司領導後決定，一般預設情況下以會議形式進行。

管理評審會議應指定專人做會議記錄。

管理評審的輸出應包括以下方面有關的措施：

1 it服務管理體系/資訊保安管理體系及其過程的改進，包括對it服務方針/資訊保安方針、it服務目標/資訊保安目標、組織結構、過程控制等方面的評價；

ISO20000管理評審程式

ISO20000配置管理程式

ISO20000體系檔案變更流程管理辦法

ISO20000體系檔案可用性流程管理辦法

ISO20000管理評審程式

ISO20000配置管理程式

ISO20000體系檔案 變更流程管理辦法

ISO20000體系檔案 可用性流程管理辦法

相關推薦

ISO20000體系檔案變更流程管理辦法

ISO20000體系檔案可用性流程管理辦法