第四章  大数据时代计算机信息处理安全问题研究




                  ③管理评审意见由信息安全管理委员会针对评审对象进行深入彻底的评审研
              讨。针对每个管理评审需求，需从国际标准、国家政策、法律法规、落实成本、
              相关方意见等多个维度进行评估，给出一致意见。
                  ④管理评审验收有后续工作的管理评审项，需在会议纪要要求时间点前将会

              议决策工作落实，落实后提请信息安全管理委员会对管理评审变更工作进行验收，
              确定是否实现了预期目标，验收合格后，流程闭环。由于管理评审意见可能涉及
              投资立项等需要较长周期才能完成的工作任务，可能造成流程超长以及嵌套的情
              况，不便于完成量化考核执行，因此将管理评审流程终结点确定在管理评审意见

              节点。
                  3. 管理评审例外事项
                  当信息安全管理相关领域有重大事件发生，并且涉及整体策略优化变更时，
              可发起临时管理评审，由变更申请部门发起，并按照评审流程完成管理评审动作。

                  （五）外部管理评审
                  1. 外部管理评审目的
                  启动审核流程的时点，应为 A 公司计算机信息安全管理体系已经设计完成
              并开展完成一个 PDCA 周期，审核管理体系运行的合规性合理性，是否达到了

              信息安全管理体系的设计初衷，是否仍旧存在待改进项需要进一步进行深入优化。
              借助审核报告可对信息安全管理体系的设计与执行进行系统评价，并作为后期持
              续改进的依据。与内部审核相比较，外部审核可聘请专业咨询机构进行专业度更
              高的梳理工作，另外内部人员很难发现自己工作中出现的问题，还可以规避内部

              人员隐瞒自身工作失误的可能性。若启动外部审核时投资充足，可酌情聘请认证
              咨询公司直接对 A 公司申请 ISO 体系认证进行支撑，完成外部审核的同时，辅
              导 A 公司完成信息安全管理体系的完善工作。ISO27001 认证通过后，每年度需
              要进行复审评估，可作为 A 公司计算机信息安全管理体系的例行外审评估，每

              年进行滚动改进优化。
                  2. 规划审核
                  ①确定审核小组成员专业机构外部审核人员，熟悉相关业务模块的内部人员。
              外部审核人员对 A 公司内部相关情况了解不足够深入，可由内部相关人员协助

              补充待审核信息。
                  ②被审核对象 A 公司信息安全管理体系所有相关流程，人员，事务执行过


                                                                                  ·167·