8/ Tính toàn vẹn
2.6. BAN QUẢN LÝ XEM XÉT HỆ THỐNG ATTT
2.6.1. Khái quát
Ban quản lý sẽ xem xét hệ thống quản lý ATTT của tổ chức theo kế hoạch đã đặt ra (ít nhất một lần trong năm) để luôn luôn đảm bảo tính chất phù hợp, đầy đủ và hiệu quả. Sự xoát xét này bao gồm đánh giá các cơ hội cho việc nâng cấp và sự cần thiết phải thay đổi của hệ thống quản lý ATTT, bao gồm các chính sách an toàn thông tin và mục tiêu an toàn thông tin. Các kết quả của việc xem xét sẽ được lưu giữ và biên soạn thành tài liệu (xem 2.3.3.3).
2.6.2. Đầu vào của việc xem xét
Đầu vào cho ban quản lý xem xét hệ thống quản lý ATTT bao gồm: 1/. Các kết quả kiểm tra và xem xét hệ thống quản lý ATTT.
2/. Thông tin phản hồi từ các bộ phận có liên quan.
3/. Các kỹ thuật, sản phẩm hoặc thủ tục có thể được sử dụng trong tổ chức nhằm nâng cao hiệu quả và năng lực của hệ thống quản lý ATTT.
4/. Hiện trạng trạng của các hành động ngăn ngừa và khắc phục, sửa chữa.
5/. Các lỗ hổng hoặc nguy cơ mất an toàn thông tin không được đề cập một cách thấu đáo trong lần đánh giá rủi ro trước.
6/. Các kết quả đánh giá năng lực của hệ thống. 7/. Các hoạt động tiếp theo lần xem xét trước.
8/. Các thay đổi có ảnh hưởng đến hệ thống quản lý ATTT. 9/. Các kiến nghị nhằm cải thiện hệ thống.
2.6.3. Đầu ra của việc xem xét
Ban quản lý sau khi xem xét hệ thống quản lý ATTT sẽ cần đưa ra các quyết định và hoạt động trong việc:
1/. Nâng cao năng lực của hệ thống quản lý ATTT. 2/. Cập nhật kế hoạch đánh giá và xử lý rủi ro.
3/. Sửa đổi các thủ tục và biện pháp quản lý có ảnh hưởng cần thiết đến bảo đảm an toàn thông tin nhằm đối phó lại với các sự kiện có thể gây tác động đến hệ thống quản lý ATTT, bao gồm:
a/. Các yêu cầu trong hoạt động nghiệp vụ. b/. Các yêu cầu an toàn bảo mật.
c/. Các quy trình nghiệp vụ có ảnh hưởng tới các yêu cầu trong hoạt động nghiệp vụ của tổ chức.
d/. Các yêu cầu về pháp lý và quy định.
e/. Các ràng buộc theo các hợp đồng đã ký kết f/. Mức độ rủi ro và/hoặc chỉ tiêu chấp nhận rủi ro. 4/. Các nhu cầu cần thiết về tài nguyên.