Přezkoumání ISMS vedení organizace

7.1 Všeobecně

Vedení organizace musí provádět přezkoumání ISMS organizace v naplánovaných intervalech

(alespoň jednou za rok), aby zajistilo jeho permanentní účelnost, adekvátnost a efektivnost.

Tato přezkoumání musí také hodnotit možnosti zlepšení a potřebu změn v ISMS, včetně

bezpečnostní politiky a cílů bezpečnosti. Výsledky přezkoumání musí být jasně

zdokumentovány a musí být o nich udržovány záznamy (viz 4.3.3).

7.2 Vstup pro přezkoumání

Vstupy pro přezkoumání vedením organizace musí zahrnovat informace o:

a) výsledcích auditů a přezkoumání ISMS;

b) zpětné vazbě od zainteresovaných stran;

c) technikách, produktech nebo postupech, které by mohly být použity v organizaci ke

zlepšení výkonu a efektivnosti ISMS;

d) stavu preventivních opatření a stavu opatření k nápravě;

e) slabinách nebo hrozbách, jimž nebyla v rámci předchozích přezkoumání rizik věnována

náležitá pozornost;

f) závěrech měření účinnosti zavedených opatření;

g) činnostech, které následovaly po předchozích přezkoumání vedením organizace (tj.

vyplývaly z jeho závěrů);

h) změnách, které by mohly ovlivnit ISMS;

i) doporučeních pro zlepšování.

7.3 Výstup z přezkoumání

Výstupy přezkoumání prováděného vedením organizace musí zahrnovat jakákoli rozhodnutí a

činnosti vztahující se k:

a) zvyšování efektivnosti ISMS;

b) aktualizaci hodnocení rizik a plánu zvládání rizik;

c) nezbytným změnám postupů bezpečnosti informací, v reakci na vnitřní nebo vnější

události, které by mohly mít vliv na ISMS. Změny se mohou týkat:

1) požadavků spojených s činností organizace;

2) bezpečnostních požadavků;

3) procesů organizace ovlivňujících existující požadavky spojené s činností

organizace;

4) regulatorních nebo zákonných požadavků;

5) smluvních závazků;

6) úrovní rizika a/nebo úrovní akceptovatelnosti rizika.

d) potřebě zdrojů;

e) zlepšování postupů měření účinnosti opatření.