1、介紹
7.1 總則
管理層必須按計畫的時間間隔(至少一年一次)評審ISMS,以確保其持續的合適性、充分性和有效性。評審必須包括評估ISMS的改進機會和變更需要,包括信息安全策略和信息安全目標。評審結果必須清楚地記入檔案,並維護好。(見4.3.3)。
7.2 評審輸入
管理評審的輸入必須包括:
(a) ISMS審核和評審的結果;
(b) 相關方的反饋;
(c) 在組織中可以用來改善ISMS績效和有效性的技術、產品或程式;
(d) 預防和糾正措施的實施情況;
(e) 上次風險評估未充分指出的弱點或威脅;
(f) 有效性測量的結果;
(g) 對上次管理評審後所採取措施進行驗證的結果;
(h) 任何可能影響ISMS的變化;
(i) 改進建議。
7.3 評審輸出
管理評審的輸出必須包括與以下方面有關的任何決定和措施:
(a) ISMS有效性的改進;
(b) 更新風險評估和風險處置計畫;
(c) 必要時,針對以下方面的變化和可能影響ISMS的內外部事件,修訂促進信息安全的程式和控制:
( 1) 業務要求;
(2) 安全要求;
(3) 實現現有業務要求的業務過程;
(4) 法律法規;
(5) 契約責任;
(6) 風險接受準則/風險接受水平。
(d) 資源需求;
(e) 改進測量控制措施有效性的方法。