由 猿小六 为确保 ISMS 是有效的,并保持通用的、适当的、充分的和有效的,ISO/IEC 27001 要求:
- 管理层定期检查 ISMS。审查必须包括评估改进的机会,以及 ISMS 变更的需要,包括安全政策和安全目标,并特别注意以前的纠正或预防措施及其有效性。
- 定期内部审计。
评审和审核的结果必须形成文件,与评审和审核有关的记录必须保持。
输入
为了进行管理评层审,ISO/IEC 27001 要求以下输入:
- ISMS 内部和外部审计和审查的结果
- 来自感兴趣方的反馈
- 组织中用于提高 ISMS 有效性的技术、产品或流程
- 预防和纠正措施(包括那些可能已经在以前的审查或审核中确定的措施)
- 事件报告,例如,如果有一个安全故障,一个报告,确定故障是什么、何时发生如何处理和可能的纠正
- 在之前的风险评估中没有充分解决的漏洞或威胁
- 对以前评审的后续行动
- 任何可能影响 ISMS 的组织变化
- 改进建议
要定期执行内部审计,您需要定义范围、标准、频率和方法。您还需要流程(应该作为《设定政策和流程来控制风险》的一部分编写),该流程标识了计划和执行审核、报告结果和维护记录的职责和要求。
输出
管理评审的结果应包括以下方面的决定和行动:
- ISMS 的改进
- 修改影响组织内各级信息安全的流程
- 资源需求
内部审核的结果应识别不符合项及其相关的纠正或预防措施。ISO/IEC 27001 列出了与纠正和预防措施相关的活动和记录要求。
案例
下面的案例展示了预防行动计划的大纲。这样的计划可能是内部审计或 ISMS 管理评审的结果。你可以用一个类似的大纲来准备一个纠正行动计划。
预防行动计划
描述
本节应识别有问题的不合格的类似或相关事件。此外,本节还应确定对每个不符合项所采取的纠正措施。
本节还应提供需要采取预防行动的理由。
1、行动计划
本节应概述为实施预防性行动而选定的行动计划,以便明确如何实施预防性行动和预期结果。
1.1、目标
本节应确定行动计划的目标。在大多数情况下,目标是防止已识别的不符合项在未来再次发生。
1.2、方法
本节应描述为防止已识别的不合格今后再次发生而采取的方法。
1.3、预期结果
本节应确定实施预防措施的预期结果。预期结果应在某种程度上与上述目标一致。
2、结果
本节应确定预防措施的结果。如果在实施预防措施后,您可能会对不符合区域进行不止一次的审核,则可能有必要列出一组以上的结果。这允许审计人员检查结果之间的一致性。
3、有效性
本节确定所选预防行动的有效性。有效性可以根据预期结果与实际结果的一致性或比较来衡量。如果结果非常相似,那么预防措施就是非常有效的。