ISO27001信息安全管理体系 要求-4.2.3监视和评审ISMS

4.2.3 监视和评审ISMS

组织应：
a) 执行监视和评审程序(procedure)和其它控制（control)措施：
1) 及时检测(jiǎn cè)过程(process)结果中的错误；
2) 及时识别失败的或成功的安全(safe)违规和事故；
3) 使管理层能确定是否将安全(safe)活动授权给人，或由信息技术实施的的安全活动是
否按期望的实施；
4) 帮助检测安全(safe)事件，进而使用(use)指标（target aim)预防安全事故；
5) 确定所采取的措施是否有效解决安全(safe)违规。
b) 定期评审ISMS的有效性（包括安全(safe)方针和目标的实现情况，安全控制（control)评审），考虑
安全(safe)审核(解释:审查核实；审阅核定)、事故、有效性测量的结果以及所有相关方的建议和反馈(feedback)；
c) 测量(cè liáng)控制（control)措施（指针对问题的解决办法)的有效性，以证实安全(safe)要求已得到满足；
d) 按照计划的时间间隔，评估风险评估，并评估残余风险的等级和已识别的接受风险，
考虑（consider)以下方面的变化：
1) 组织；
2) 技术(Technology)；
3) 业务目标和过程(process)；
4) 已识别的威胁；
5) 已实施的控制措施（指针对问题的解决办法)的有效性；
6) 外部事件，如法律(law)法规、合同要求和社会风气的变化。
e) 按计划的时间间隔进行ISMS内部审核(解释:审查核实；审阅核定)（见第6条款）；
注：内部审核(解释:审查核实；审阅核定)，也称为第三方审核，是为了内部的目的，由组织或以组织的名义进行的审核。ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。
f) 定期进行ISMS管理评审（至少一年一次），确保范围(fàn wéi)仍然充分，并识别ISMS过程(process)改
进的机会（见7.1）；
g) 更新安全(safe)计划，考虑（consider)监视和评审活动的发现；
h) 记录可能影响ISMS有效性或业绩的措施和事件（见4.3.3）。ISO27001认证标准是为了与其他管理标准，比如ISO9000和ISO14001等相互兼容而设计的，这一标准中的编号系统和文件管理需求的设计初衷，就是为了提供良好的兼容性，使得组织可以建立起这样一套管理体系：能够在最大程度上融入这个组织正在使用的其他任何管理体系。军工认证的意义:提高和改善企业的管理水平，规避法律风险，增加企业的知名度。提高和保证产品的质量水平，使企业获取更大的经济效益。取得进入军工市场的通行证。