5.1.2信息安全方针评审

Able(Shanghai)EnterpriseManagementCo.,LTD英文标题:32-35pt颜色:R153G0B0内部使用字体:FrutigerNextLTMedium外部使用字体:Arial中文标题:30-32pt颜色:R153G0B0字体:黑体英文正文:20-22pt子目录(2-5级):18pt颜色:黑色内部使用字体:FrutigerNextLTRegular外部使用字体:Arial中文正文:18-20pt子目录(2-5级):18pt颜色:黑色字体:细黑体配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.方针评审Page1实施指南信息安全方针宜有专人负责，他负有安全方针制定、评审和评价的管理职责。评审宜包括评估组织信息安全方针改进的机会和管理信息安全适应组织环境、业务状况、法律条件或技术环境变化的方法。Able(Shanghai)EnterpriseManagementCo.,LTD英文标题:32-35pt颜色:R153G0B0内部使用字体:FrutigerNextLTMedium外部使用字体:Arial中文标题:30-32pt颜色:R153G0B0字体:黑体英文正文:20-22pt子目录(2-5级):18pt颜色:黑色内部使用字体:FrutigerNextLTRegular外部使用字体:Arial中文正文:18-20pt子目录(2-5级):18pt颜色:黑色字体:细黑体配色参考方案：建议同一页面内不超过四种颜色，以下是13组配色方案，同一页面内只选择一组使用。（仅供参考）客户或者合作伙伴的标志放在右上角.方针评审Page2信息安全方针评审宜考虑管理评审的结果。宜定义管理评审规程．包括时间表或评审周期。管理评审的输入宜包括以下信息：a)相关方的反馈；b)独立评审的结果(见6．1．8)：c)预防和纠正措施的状态(见6．1．8和1j．2．1)：d)以往管理评审的结果；e)过程执行情况和信息安全方针符合性：f)可能影响组织管理信息安全的方法的变更，包括组织环境、业务状况、资源可用性、合同、规章和法律条件或技术环境的变更；g)威胁和脆弱性的趋势；h)已报告的信息安全事件(见13．1)；i)相关政府部门的建议(见6．1．6)。管理评审的输出宜包括与以下方面有关的任何决定和措施：a)组织管理信息安全的方法及其过程的改进：b)控制目标和控制措施的改进：c)资源和或职责分配的改进。管理评审的记录宜被维护。宜获得管理者对修订的方针的批准。