Přezkoumání ISMS vedení organizace
7.1 Všeobecně
Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech
(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost, adekvátnost a efektivnost.
Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně
bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání musí být jasně
zdokumentovány a musí být o nich udržovány záznamy (viz 4.3.3).
7.2 Vstup pro přezkoumání
Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o:
a) výsledcích auditů a přezkoumání ISMS;
b) zpětné vazbě od zainteresovaných stran;
c) technikách, produktech nebo postupech, které by mohly být použity v organizaci ke
zlepšení výkonu a efektivnosti ISMS;
d) stavu preventivních opatření a stavu opatření k nápravě;
e) slabinách nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována
náležitá pozornost;
f) závěrech měření účinnosti zavedených opatření;
g) činnostech, které následovaly po předchozích přezkoumání vedením organizace (tj.
vyplývaly z jeho závěrů);
h) změnách, které by mohly ovlivnit ISMS;
i) doporučeních pro zlepšování.
7.3 Výstup z přezkoumání
Výstupy přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a
činnosti vztahující se k:
a) zvyšování efektivnosti ISMS;
b) aktualizaci hodnocení rizik a plánu zvládání rizik;
c) nezbytným změnám postupů bezpečnosti informací, v reakci na vnitřní nebo vnější
události, které by mohly mít vliv na ISMS. Změny se mohou týkat:
1) požadavků spojených s činností organizace;
2) bezpečnostních požadavků;
3) procesů organizace ovlivňujících existující požadavky spojené s činností
organizace;
4) regulatorních nebo zákonných požadavků;
5) smluvních závazků;
6) úrovní rizika a/nebo úrovní akceptovatelnosti rizika.
d) potřebě zdrojů;
e) zlepšování postupů měření účinnosti opatření.