ISMS管理

信息安全管理體系ISMS中的“管理”是指:.通過計畫、組織、領導、控制等環節來協調人力、物力、財力等資源，以期有效達到組織信息安全目標的活動。

管理層必須按計畫的時間間隔（至少一年一次）評審ISMS，以確保其持續的合適性、充分性和有效性。評審必須包括評估ISMS的改進機會和變更需要，包括信息安全策略和信息安全目標。評審結果必須清楚地記入檔案，並維護好。（見4.3.3）。

管理評審的輸入必須包括：

（a) ISMS審核和評審的結果；

（b) 相關方的反饋；

（c) 在組織中可以用來改善ISMS績效和有效性的技術、產品或程式；

（d) 預防和糾正措施的實施情況；

（e) 上次風險評估未充分指出的弱點或威脅；

（f) 有效性測量的結果；

（g) 對上次管理評審後所採取措施進行驗證的結果；

（h) 任何可能影響ISMS的變化；

（i) 改進建議。

管理評審的輸出必須包括與以下方面有關的任何決定和措施：

（a) ISMS有效性的改進；

（b) 更新風險評估和風險處置計畫；

（c) 必要時，針對以下方面的變化和可能影響ISMS的內外部事件，修訂促進信息安全的程式和控制：

（ 1) 業務要求；

（2) 安全要求；

（3) 實現現有業務要求的業務過程；

（4) 法律法規；

（5) 契約責任；

（6) 風險接受準則/風險接受水平。

（d) 資源需求；

（e） 改進測量控制措施有效性的方法。