第一章 总则

第一条 为了检查安全控制措施实施的有效性，并且符合制定的信息安全策略和相关程序或规定，以确保信息安全管理体系和安全管理制度能够满足不断变化的安全需求，特制定本文件。

第二章 适用范围

第二条 本文件适用于武汉学院信息系统信息安全管理体系和安全管理制度的所有评审与修订过程。

第三章 组织职责

第三条 武汉学院职责：

(一) 负责信息安全管理体系和制度的评审及修订后复审工作。

(二) 确保信息安全管理体系和安全管理制度能持续恰当和有效地运作。

(三) 提供充足的资源和支持，以持续改善信息安全管理体系和各项安全管理制度。

第四条 网络安全与信息化领导小组领导小组职责：

(一) 负责启动和主持信息安全管理体系和安全管理制度的管理评审工作。

(二) 负责协调相关人员，指导收集评审资料。

(三) 确保评审会议所提出的行动项目能在规定的时间内完成，并负责其相关的监督工作。

(四) 负责协调相关人员对评审结果（如需进行修订项）进行修订。

(五) 指派人员负责对修订措施的执行结果进行验证。

第五条 相关人员，是指信息系统信息安全管理体系和各项安全管理制度涉及的人员。比如：系统管理员、网络管理员、应用管理员、文档管理员、制度修订人员等，其职责是：

(一) 负责协助进行评审。

(二) 负责实施修订措施

第四章 评审程序

第六条 信息安全管理组织需要定期（至少每年一次）开展信息安全管理体系和安全管理制度的评审工作，以确保整个信息安全管理体系和安全管理制度的合理性、适用性和有效性。

第七条 主要评审内容：

(一) 根据业务系统的性质和安全要求，确定（或复审）信息安全管理体系的范围和安全管理制度的内容，建立（复审）信息安全管理体系，包括信息安全策略、制度标准和程序。

(二) 对信息安全管理体系和安全管理制度的审核结果进行评审，分析导致不符合项的原因。

(三) 审查审核对象的反馈信息。

(四) 总结已发现的安全事件和漏洞。

(五) 审查现行的安全控制措施和相关技术是否有效。

(六) 复查修订措施的实施状况。

(七) 检查先前管理评审中所定义的措施的实施状况。

(八) 审查改善措施的建议。

(九) 复查业务和法律法规方面的变更（比如：业务需求、客户需求的变更和新颁布的法律法规）。

(十) 审查可能影响信息安全管理体系和安全管理制度内容的任何变更。

(十一) 为协调相关信息安全的实施，评审相关资源的充足性。

第八条 发生以下情况时，也需要启动管理评审工作：

(一) 信息系统业务发生重大变更。

(二) 信息系统信息安全策略的重大变更。

(三) 目前信息安全管理体系和安全管理制度的执行不力。

(四) 信息系统信息安全管理体系和安全管理制度的范围与内容发生变更。

(五) 相关标准法规发布修订版本或有变更。

第九条 评审工作的会议记录均需归档，以保存正式的记录。

第五章 修订程序

第十条 问题的识别及确认，采取修订措施包括（但不限于）以下原因：

(一) 来自信息系统信息安全管理体系和安全管理制度相关人员的反馈信息或调查申请。

(二) 信息安全管理评审的会议讨论中发现的问题。

(三) 信息安全管理体系和安全管理制度审核中发现的不符合项。

第十一条 调查问题的起因：

(一) 由信息安全等级保护工作小组指派专门的人员负责对问题进行分析调查并确认问题的起因。

(二) 调查人员需提供尽可能多的关于整个问题调查的详细结果。作为修订措施报告的一部分，也可以提供一些额外的补充信息。

第十二条 执行修订措施：

(一) 基于所调查出的问题起因，需确认并实施相应措施或对事故进行调查研究，负责上述行动的执行者需确保更新所有相关的文件或管理流程。比如：

a) 准备制定或更新相关管理程序。

b) 培训/通知相关人员知晓。

(二) 执行人员负责跟踪所执行修订措施的效果。一旦发现效果不如预期，其相关负责人需进行评估分析并就进一步的应对措施进行确认。执行人员必须确保所实施的修订措施是可证实和可验证的，并保证修订措施报告中均有详细说明。

第十三条 措施的验证：

(一) 如果验证出所采取的措施是达到预期效果的，则修订措施才算成功，可以结束跟踪，验证阶段包括以下两个部分：

a) 对所规定修订措施的执行程度进行验证。

b) 对修订措施的执行效果进行验证。

(二) 措施验证的结果中必须有详细的说明，且对相关记录进行保存。

第六章 持续改进

第十四条 为了保证本文件的时效性、可行性，必须根据相关审核规定进行评审和修订，修订后重新发布。

第七章 附则

第十五条 本文件由武汉学院负责制定、解释和修改。

本文件自发布之日起执行。