ISO270012023管理评审报告.docx

《ISO270012023管理评审报告.docx》由会员分享，可在线阅读，更多相关《ISO270012023管理评审报告.docx（2页珍藏版）》请在第一文库网上搜索。

1、IS027002-2022管理评审总结报告评审时间2022/12/10地点三楼会议室主持人总经理记录XX评审人员评审目的对公司信息安全管理体系的运行情况进行汇报总结，评价公司信息安全方针、信息安全的目 标、信息安全管理体系的适宜性、充分性、有效性。评审依据1、ISO/IEC 27001:2022 标准条款;2、ISMS管理手册、程序文件；3、相关方要求、适用法律法规、合同。评审范围公司各过程涉及的信息安全管理体系的运行情况评审内容:一、管理体系文件评审信息安全部及各部门按管理体系实施要求,对管理体系所涉及的相关文件均己由各主导部门进行内部评审, 部分文件已按实际运行情况进行了修订，符合管理体系

2、运行要求。二、公司组织结构与信息安全方针、目标合适性情况1、为了完善公司的组织结构，明确各部门、人员的职责，在导入IS027001前就将公司的组织结构与职责分 工明确了下来，并且在信息安全管理手册中得到反映。并明确相关部门人员、负责人及各自的职责。2、通过IS027001运行情况来看，公司的组织结构与职责分工整体上来讲是适合公司的信息安全方针与信息 安全目标的需要。但在部门间协调与沟通方面还需进一步加强和完善。3、信息安全管理方针通过会议、文件、厂牌、宣传栏等形式传达到全体员工，并贯彻实施，对公司目前的 管理体系运行起到了指导作用。信息安全部就信息安全方针进行了讨论，全体员工基本上能领会公司信

3、 息安全方针及各项要求。4、信息安全目标的达成，公司信息安全管理体系目标及其他部门指标，已全部达成，但仍应坚持不懈，持 之以恒的保证各个环节的正常运作，确保稳定有效（具体参见2022年目标指标达成统计）。5、公司依确定的信息安全方针和目标建立文件化的信息安全管理体系，由于信息安全方针的颁布实施，公 司更加明确了以信息安全风险管理为导向，满足顾客及内外部要求的目标。随着信息安全管理水平的提 升，客户对公司的满意程度不断提升，并争取客户更高层次的信任。公司的信息安全方针与目标已部分 体现了公司、客户的需求，适应公司发展的需要，暂不需要修改。三、以往管理评审决议事项措施的跟进2022年度管理评审会议

4、共提出2项决议事项，责任部门已按要求制定了改善对策，并按规定的时间进行改 善，至2022年12月对决议事项追踪确认，均已完成关闭。四、内外部审核结果及不符合与纠正措施完成情况1、内部审核结果公司于2022年11月25日在管理者代表组织下进行了 ISMS管理体系的审核工作，按照管理体系标准要求全面覆盖审核范围，逐条逐项进行检查对照。审核共发现2项一般不符合项，无严重不符合项，其中项目 工程部1项、信息安全部部1项，审核发现的2项不符合项均已按制定计划完成改善（见不符合改善报 告）。2、外部审核结果公司于2022年2月26日-3月1日通过NQA年度监督审核（ISMS管理体系），审核共发现5项一般不

5、符合 项，无严重不符合项，5项不符合项均已按计划完成改善。3、不符合与纠正措施完成情况a）对内/外审中开出的不符合项报告，要求整改部门加强全局意识，认真贯彻落实纠正与预防控制 程序，由IT课对不符合项继续跟进。b） IT课对各部门的检查中发现的不合格项，各部门已按规定的时间整改完毕并跟踪结案。五、风险评估的结果和风险处理计划的状态信息安全部于2022年11月份对信息资产变更情况重新进行了风险评估及风险处理计划，风险处理计划及 措施有效。六、与信息安全管理体系相关的内外部变更：根据管理体系要求，管理者代表组织相关部门对公司的内外部环境因素进行了分析，识别出对公司信息安 全管理体系有重大影响的因素

6、，并制定相关的应对管理措施，目前公司无内外部变更因素。七、客户投诉及相关方的反馈公司自建立信息安全管理体系以来，未发生因信息安全泄露导致客户或相关方投诉的事件。八、体系运行情况及改进的建议1、公司领导都具有较高的信息安全意识，工作思路清晰。中层领导普遍对本公司实施IS027001： 2022标准 有正确的认识态度，公司的信息安全管理体系基本得以有效实施，但仍有需要改进的空间。2、改进建议：a）部分人员对计算管理规定要求不够清楚，由IT课制定培训计划，组织各部门进行培训； b）信息安全部对各部门的信息安全检查频率过低，建议各部门每月应进行一次抽查。管理评审结论：1、公司建立、实施和保持的信息安全管理体系是适宜的、充分的和有效的。2、颁布的信息安全方针、目标和管理体系文件得到全体员工的理解和贯彻执行，暂时不需要改进。3、公司建立的ISMS管理体系过程均在受控状态，并能够按照策划的要求开展持续改进活动，包括有效实施内 部审核，开展质量改进、数据分析、纠正措施和预防措施，以及管理评审活动等。4、公司的IS027001： 2022标准的体系经过现阶段的运行，确认符合标准的运作要求。编制:审核:核准: