一、要求内容 

a)应由信息安全领导小组负责定期组织相关部门和相关人员对安全管理制度体系的合理性和适用性进行审定； 

b)应定期或不定期对安全管理制度进行检查和审定，对存在不足或需要改进的安全管理制度进行修订； 

c)应明确需要定期修订的安全管理制度，并指定负责人或负责部门负责制度的日常维护； 

d)应根据安全管理制度的相应密级确定评审和修订的操作范围。 

二、实施建议 

通过定期进行内审和管理评审工作，发现体系和制度中的不足之处，组织及时对体系和制度进行修改。内审工作应当组织专门或兼职的内审人员来进行。当发生重大安全事故之后也应当及时进行评审工作。 

三、常见问题 

在未建立信息安全管理体系的组织内，往往缺少定期的安全管理制度的评审，通常是在有需要或发现问题时才进行。 

四、实施难点 

评审工作需要花费参加评审人员的工作时间，所以要安排好评审工作的计划，保证评审工作顺利进行。 

五、测评方法 

形式 访谈，检查。 对象 安全主管，负责定期评审、修订和日常维护管理制度的人员，安全管理制度列表，评审记录，安全管理制度对应负责人或负责部门的清单。 

实施 

a)应访谈安全主管，询问是否由信息安全领导小组负责定期对安全管理制度体系的合理性和适用性进行审定，是否定期对安全管理制度进行评审，由何部门/何人负责； 

b)应访谈负责定期评审、修订和日常维护管理制度的人员，询问定期对安全管理制度的评审、修订情况和日常维护情况，评审周期多长，评审、修订程序如何，维护措施如何； 

c)应访谈管理人员（负责人员），询问系统发生重大安全事故、出现新的安全漏洞以及技术基础结构和组织机构结构等发生变更时是否对安全管理制度进行审定，对需要改进的制度是否进行修订； 

d)应访谈管理人员（负责定期评审、修订的人员），询问评审和修订有密级的安全管理制度时对参加评审和修订的人员是否考虑到相应保密要求； 

e)应检查安全管理制度评审记录，查看记录日期与评审周期是否一致；如果对制度做过修订，检查是否有修订版本的安全管理制度； 

f)应检查是否具有系统发生重大安全事故、出现新的安全漏洞以及技术基础结构等发生变更时对安全管理制度进行审定的记录； 

g)应检查是否具有需要定期修订的安全管理制度列表，查看列表是否注明评审周期； 

h)应检查是否具有所有安全管理制度对应相应负责人或者负责部门的清单。 

i)应检查是否具有安全管理制度体系的评审记录，查看记录日期与评审周期是否一致，是否记录了相关人员的评审意见。 

六、参考资料 

ISO17799中对信息安全体系评审给出了指导建议： 

6.1.8 信息安全的独立评审 控制： 应按计划的时间间隔或当发生重大的信息安全变化时，对组织的信息安全管理方法及其实施情况（如，信息安全控制目标、控制措施、策略、过程和程序）进行独立评审。 实施指南： 独立评审应由管理者发起。这种独立评审对确保组织管理信息安全方法的持续适宜性、充分性和有效性是必须的。评审应包括评价安全方法改进的机会和变更的需要，包括策略和控制目标。 这样的评审应由独立于被评审区域的个人执行，例如内部审核部门、独立的管理者或专门做这种评审的第三方组织。从事这些评审的个人应具备适当的技能和经验。 独立评审的结果应被记录并报告给启动评审的管理者。这些记录应加以保持。 如果独立评审识别出组织管理信息安全的方法和实施不充分或不符合信息安全策略文件（见5.1.1）中声明的信息安全的方向，管理者应考虑纠正措施。