安全程序满足业务的需求；履行法律法规要求、以及合同中的安全义务；
f正确实施所有必需的信息安全控制措施。
2培训、意识和能力
XXXX将通过开展各种形式的信息安全培训和教育活动，确保所有分配有ISMS职责的人员具有一定的信息安全意识，以及执行所要求任务的能力。
3ISMS内部审核
由体系审核员编制XXXX的信息安全年度审核计划，报ISMS责任人批准后实施，一般情况下内部审核每年不少于2次。
ISMS责任人负责信息安全管理体系内部审核的组织和协调工作，体系审核员负责具体实施，各部门配合。
每次审核前编制信息安全审核日程计划及检查表，作为现场审核依据。体系审核员不审核自己部门的信息安全管理工作。ISMS内部审核参见《信息安全审核管理程序》。内部审核报告及纠正措施实施情况，应提交ISMS责任人审核。
4ISMS的管理评审
ISMS责任人应定期对XXXX信息安全管理体系进行评审，每年至少一次，通常在内审结束后的1－2月内进行。当XXXX的信息安全管理体系发生重大变更和出现重大信息安全事故时可以追加临时管理评审。
体系审核员根据内部审核的结果以及其它各项信息安全管理的要求，组织各部门准备管理评审的材料，主要包括：
内审的结果；信息安全方针、信息安全目标、风险控制措施的实施情况；信息安全事故调查处理情况；信息安全整改改进措施实施情况；相关方信息安全方面的投诉、建议及其要求；信息安全法规及其他要求符合性报告；
f关于XXXXISMS信息安全管理体系总体运行情况的报告；来自各职能部门关于局部有效性的报告；
可能引起信息安全管理体系变化的组织内外部要素，如法律、法规的变化、机构人员的调整，IT架构的变化等；
其它信息安全改进建议。
5评审结果主要包括：
对XXXX信息安全管理体系的适宜性、充分性和有效性的结论；信息安全管理组织机构是否需要调整，信息安全管理体系及其要素是否
需要改进；信息安全管理体系文件需要进行的修改；资源需求；信息安全方针、目标和控制措施的适宜性，需要进行的修改；相应的信息安全整改改进措施要求。
6ISMS改进
体系审核员负责根据信息安全内部审核、数据分析、纠正和预防措施、管理评审等的结果，积极寻找持续改进的机会，确定需要改进的方面，进行日常的信息安全改进和重大改进工作；对信息安全预防和纠正措施实施情况进行统计分析，并纳入管理评审。具体的改进内容参见《预防与不符合纠正控制程序》。
6纠正措r