ISO/IEC 27001: 2022标准 正文 9 Performance evaluation 绩效评价/9.3 Management review 管理评审

9.3 Management review 管理评审

9.3.1 General 总则

Top management shall review the organization’s information security management system at planned intervals to ensure its continuing suitability, adequacy and effectiveness.
最高管理层应按照策划的时间间隔对组织的信息安全管理体系进行评审,以确保其持续的适宜性、充分性和有效性。

9.3.2 Management review inputs 管理评审输入

The management review shall include consideration of:
管理评审应考虑:

a) the status of actions from previous management reviews;
a) 以往管理评审所采取措施的情况;

b) changes in external and internal issues that are relevant to the information security management system;
b) 与信息安全管理体系相关的内外部事项的变化;

c) changes in needs and expectations of interested parties that are relevant to the information security management system;
c) 与信息安全管理体系相关的相关方需求和期望的变化;

d) feedback on the information security performance, including trends in:
d) 有关信息安全绩效的反馈,包括以下方面的趋势:

1) nonconformities and corrective actions;
1) 不符合和纠正措施;

2) monitoring and measurement results;
2) 监视和测量结果;

3) audit results;
3) 审核结果;

4) fulfilment of information security objectives;
4) 信息安全目标完成情况;

e) feedback from interested parties;
e) 相关方反馈;

f) results of risk assessment and status of risk treatment plan;
f) 风险评估结果及风险处置计划的状态;

g) opportunities for continual improvement.
g) 持续改进的机会。

9.3.3 Management review results 管理评审输出

The results of the management review shall include decisions related to continual improvement opportunities and any needs for changes to the information security management system.
管理评审的结果应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。

Documented information shall be available as evidence of the results of management reviews.
文件化信息应予以保留,以作为管理评审结果的证据。
ISO/IEC 27001:2013标准 正文 9 绩效评价/9.3 管理评审

9.3 管理评审

最高管理层应按计划的时间间隔评审组织的信息安全管理体系,以确保其持续的适宜性、充分性和有效性。
管理评审应考虑:
a) 以往管理评审提出的措施的状态;
b) 与信息安全管理体系相关的外部和内部事项的变化;
c) 有关信息安全绩效的反馈,包括以下方面的趋势:
1) 不符合和纠正措施;
2) 监视和测量结果;
3) 审核结果;
4) 信息安全目标完成情况;
d) 相关方反馈;
e) 风险评估结果及风险处置计划的状态;
f) 持续改进的机会。
管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。
组织应保留文件化信息作为管理评审结果的证据。

标准解读:

  1. 新版的9.3与ISO/IEC 27001:2013基本保持了一致,仅仅在结构上和序号上做了较大变化,因此新旧版实施要求没有变化(新版中,管理评审输入c)是新增加的要求,但一般体系(如ISO 9001)都会把这个作为管理评审的输入材料,所以应该不算新的要求)。
  2. 组织应建立管理评审过程,形成《管理评审控制程序》。
  3. 组织的最高管理者应在计划的时间间隔组织信息安全管理体系的管理评审,以确保其持续的适宜性、充分性和有效性。
  4. 管理评审应输入9.3.2 a)-g)的各项内容。
  5. 管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。

实施本条款应输出的文档:

  1. 《管理评审控制程序》。
  2. 管理评审计划、管理评审输入材料、管理评审报告等。

本条款审核要点:

  1. 审核管理评审相关记录(管理评审计划、管理评审输出材料、管理评审报告等)是否齐全,管理评审输入材料是否全面涵盖9.3.2 a)-g)各项内容。

ISO/IEC 27001:2013标准解读(20)正文 9 绩效评价