1)管理評(píng)審設(shè)計(jì)

組織應(yīng)定期對(duì)ISMS實(shí)施管理評(píng)審。當(dāng)系統(tǒng)環(huán)境發(fā)生較大變化、組織機(jī)構(gòu)發(fā)生重大變化或安全需求發(fā)生重大變化時(shí)，需要適時(shí)進(jìn)行管理評(píng)審，并可臨時(shí)縮短管理評(píng)審的周期。

管理評(píng)審由組織的管理高層親自主導(dǎo)實(shí)施，通常以召開(kāi)管理評(píng)審會(huì)議的方式進(jìn)行。管理評(píng)審會(huì)議召開(kāi)之前，應(yīng)擬定參加會(huì)議的人員名單，并提前指定相關(guān)人員收集管理評(píng)審的各項(xiàng)輸犬材料，管理評(píng)審輸入材料至少應(yīng)包括ISMS審核和評(píng)審的結(jié)果、相關(guān)方的反饋、組織用于改進(jìn)ISMS執(zhí)行情況和有效性的技術(shù)與產(chǎn)品和規(guī)程、預(yù)防和糾正措施的狀況、以往風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱性和威脅、有效性測(cè)量的結(jié)果、以往管理評(píng)審的跟蹤措施、可能影響ISMS 的任何變更以及改進(jìn)ISMSt的任何建議，以確保輸入材料的全面和客觀。

評(píng)審包括評(píng)估ISMS改進(jìn)的機(jī)會(huì)和變更的需要，包括評(píng)估信息安全方針和信息安全目標(biāo)是否需要變更。管理評(píng)審活動(dòng)應(yīng)該形成管理評(píng)審輸出，輸出應(yīng)包括以下方面的任何決定和措施：ISMS有效性的改進(jìn)、風(fēng)險(xiǎn)評(píng)估和風(fēng)險(xiǎn)處置計(jì)劃的更新、資源需求、有效性測(cè)量方法的改進(jìn)、修改ISMS文件和控制措施以響應(yīng)各種變化（應(yīng)該關(guān)注的變化的范圍是廣泛的，包括業(yè)務(wù)需求、安全需求、業(yè)務(wù)過(guò)程、法律法規(guī)要求、合同義務(wù)、風(fēng)險(xiǎn)級(jí)別和風(fēng)險(xiǎn)可接收準(zhǔn)則等方面的變化）。