1)管理評審設計

組織應定期對ISMS實施管理評審。當系統環境發生較大變化、組織機構發生重大變化或安全需求發生重大變化時，需要適時進行管理評審，并可臨時縮短管理評審的周期。

管理評審由組織的管理高層親自主導實施，通常以召開管理評審會議的方式進行。管理評審會議召開之前，應擬定參加會議的人員名單，并提前指定相關人員收集管理評審的各項輸犬材料，管理評審輸入材料至少應包括ISMS審核和評審的結果、相關方的反饋、組織用于改進ISMS執行情況和有效性的技術與產品和規程、預防和糾正措施的狀況、以往風險評估沒有充分強調的脆弱性和威脅、有效性測量的結果、以往管理評審的跟蹤措施、可能影響ISMS 的任何變更以及改進ISMSt的任何建議，以確保輸入材料的全面和客觀。

評審包括評估ISMS改進的機會和變更的需要，包括評估信息安全方針和信息安全目標是否需要變更。管理評審活動應該形成管理評審輸出，輸出應包括以下方面的任何決定和措施：ISMS有效性的改進、風險評估和風險處置計劃的更新、資源需求、有效性測量方法的改進、修改ISMS文件和控制措施以響應各種變化（應該關注的變化的范圍是廣泛的，包括業務需求、安全需求、業務過程、法律法規要求、合同義務、風險級別和風險可接收準則等方面的變化）。