10年专业ISO20000、ISO27001、ISO27000、itss、CMMI、CCRC、商用密码产品、APP安全认证咨询机构服务项目
最新动态
热点文章
首页 > 服务项目 > ISO27001信息安全管理体系认证咨询 > ISO27001信息安全管理体系 要求-4.2.3监视和评审ISMS:ISO27001信息安全管理体系 要求-4.2.3监视和评审ISMS
4.2.3 监视和评审ISMS
组织应:
a) 执行监视和评审程序和其它控制措施:
1) 及时检测过程结果中的错误;
2) 及时识别失败的或成功的安全违规和事故;
3) 使管理层能确定是否将安全活动授权给人,或由信息技术实施的的安全活动是
否按期望的实施;
4) 帮助检测安全事件,进而使用指标预防安全事故;
5) 确定所采取的措施是否有效解决安全违规。
b) 定期评审ISMS的有效性(包括安全方针和目标的实现情况,安全控制评审),考虑
安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈;
c) 测量控制措施的有效性,以证实安全要求已得到满足;
d) 按照计划的时间间隔,评估风险评估,并评估残余风险的等级和已识别的接受风险,
考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事件,如法律法规、合同要求和社会风气的变化。
e) 按计划的时间间隔进行ISMS内部审核(见第6条款);
注:内部审核,也称为第三方审核,是为了内部的目的,由组织或以组织的名义进行的审核。
f) 定期进行ISMS管理评审(至少一年一次),确保范围仍然充分,并识别ISMS过程改
进的机会(见7.1);
g) 更新安全计划,考虑监视和评审活动的发现;
h) 记录可能影响ISMS有效性或业绩的措施和事件(见4.3.3)。
组织应:
a) 执行监视和评审程序和其它控制措施:
1) 及时检测过程结果中的错误;
2) 及时识别失败的或成功的安全违规和事故;
3) 使管理层能确定是否将安全活动授权给人,或由信息技术实施的的安全活动是
否按期望的实施;
4) 帮助检测安全事件,进而使用指标预防安全事故;
5) 确定所采取的措施是否有效解决安全违规。
b) 定期评审ISMS的有效性(包括安全方针和目标的实现情况,安全控制评审),考虑
安全审核、事故、有效性测量的结果以及所有相关方的建议和反馈;
c) 测量控制措施的有效性,以证实安全要求已得到满足;
d) 按照计划的时间间隔,评估风险评估,并评估残余风险的等级和已识别的接受风险,
考虑以下方面的变化:
1) 组织;
2) 技术;
3) 业务目标和过程;
4) 已识别的威胁;
5) 已实施的控制措施的有效性;
6) 外部事件,如法律法规、合同要求和社会风气的变化。
e) 按计划的时间间隔进行ISMS内部审核(见第6条款);
注:内部审核,也称为第三方审核,是为了内部的目的,由组织或以组织的名义进行的审核。
f) 定期进行ISMS管理评审(至少一年一次),确保范围仍然充分,并识别ISMS过程改
进的机会(见7.1);
g) 更新安全计划,考虑监视和评审活动的发现;
h) 记录可能影响ISMS有效性或业绩的措施和事件(见4.3.3)。
想了解更多的关于信息可以经常关注我们
【相关文章】
