03信息安全体系管理评审报告.docx

《03信息安全体系管理评审报告.docx》由会员分享，可在线阅读，更多相关《03信息安全体系管理评审报告.docx（6页珍藏版）》请在第一文库网上搜索。

1、深圳市*科技有限公司管理评审报告ISMS-0107-JL04编 制：审核：批准：2020年03月30日IS027001信息安全管理体系管理评审报告为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据信息安全管理手册和2020年度管理评审计划的要求，于2020年03月30日在公司召开了 2020年度管理评审会议。本次会议由总经理负责主持，公司各部门负责人均参加。本次管理评审的内容包括：1 .信息安全管理体系审核和评审的结果；2 .相关方的反馈；3 .用于改进信息安全管理体系业绩和有效性的技术、产品或程序；4 ,预防和

2、纠正措施的状况；5,风险评估没有充果；分强调的脆弱性或威胁；6 有效性测量的结7 .内审不符合项的跟踪验证；8 任何可能影响信息安全管理体系的变更；9 .对策略集适宜性、充分性和有效性进行评审。10 .改进的建议。管理评审会议上，管理者代表以及各部门负责人将信息安全管理体系的建立以及实施情况进行总结，并对下阶段工作提出要求。管理评审内容具体如下：一、信息安全管理体系审核和评审的结果管理者代表曹飞澎在会上对管理体系的建立和运行情况进行了分析汇报，体系建设和运行情况如下：1 .我公司成立信息安全管理小组，落实了人员组成和职责。2 .体系实施前期，信息安全管理委员会对我公司各部门进行调查，现场了解现

3、有关信息资产状况及风险管理要求，现有的信息安全管理文件及执行情况，收集相关的安全信息，明确信息安全管理体系目前存在的问题和需要改进的方向。3 .参加内部审核员培训，培训多名信息安全内部审核员，组成本公司信息安全管理体系的内部审核员队伍。4 .制订了信息安全管理体系风险评估工作计划，组建了风险评估小组，对公司现行的业务进行系统分析，完成信息安全风险评估报告。5 .对存在的风险制订风险处置计划，落实责任人员和完成时间，对风险处理计划的执行情况进行监督检查。6 .完成体系文件的编写、审核和发布，形成完善的信息安全管理文件体系。7 .开展了内审工作，验证体系执行的符合性，并对文件的有效性进行验证。在内

4、审后又一次对信息安全管理体系文件进行修改和完善。8 .完成残余风险的分析，并由总经理批准接受。其他风险通过有效控制，达到可接受的风险等级。9 .完成策略集适宜性、充分性和有效性评审，确认策略集是适宜的、充分的和有效的。二、相关方的反馈我公司信息系统属内部网络，体系实施以来信息安全管理状况不断完善，未收到内部的有关投诉和上级批评。三、用于改进信息安全管理体系业绩和有效性的技术、产品或程序通过对管理层、业务部、综合部、软件部的资产识别，并对识别的信息资产进行评价。通过本次风险评估，本公司的主要信息资产为信息系统数据、涉密文档资料，主要风险为三级风险，涉及信息系统安全管理方面、涉密文档管理方面。但对

5、于即时通讯软件和人员的流员可能性的风险，根据公司目前的规模和状况，识别成高风险，并申请了残余风险，这些风险会随着公司规模的扩大和管理的提升相应减小。对识别的风险通过制订文件、有效设定账号口令、加强培训和管理等控制方法进行有效控制。四、预防和纠正措施的状况公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发现存在问题，并对存在问题的原因进行分析，制订相应的纠正措施，各部门进行有效控制。通过实施验证，发现纠正措施实施有效，对防止问题的再次发生，起到有效预防作用。五、风险评估没有充分强调的脆弱性或威胁随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工信息安全意识的提高，可能

6、会对风险有新的认识或产生新的风险，因此应按规定周期连续进行风险评估。六、有效性测量的结果为完成公司的信息安全目标，公司通过多种渠道进行检测和分析，如制订文件，明确达成目标中所遇到的风险的监控，包括对风险处置计划执行的监测，风险等级的分析检测，网络访问的检查，技术符合性的监测、安全日志审核以及安全事件的监督，对体系运行的管理评审测量表和检查表等。通过各种手段的监测，我公司信息安全达到预定的目标，目前没有发生重大信息安全事件。七、内审不符合项的跟踪验证为验证公司信息安全活动符合性和有效性，组织了信息安全管理体系的内审。内审中共发现信息安全管理体系存在2个不符合项，完成了不符合项的整改，纠正措施有效

7、，没有发现严重不符合项存在。通过内审，对标准以及体系文件进行了再学习，员工对信息安全有了更进一步的理解，执行起来也更为顺畅。通过整改，消除了日常工作中的一些信息安全隐患，规范了我公司的信息安全管理工作。本次内部审核，我们认为公司的信息安全管理体系已经建立并实施，体系运行正常有效。八、任何可能影响信息安全管理体系的变更目前公司的体系运行正常，不存在影响信息安全管理体系的变更。九、改进的建议虽然公司建立了系统化的信息安全管理控制体系，大大提高了信息安全风险的掌控能力。但以下方面我们仍需提高:序号改进内容改进方案负责人完成日期验证人实施情况1继续加强风险评估工作，包括供应商风险（关键备货）、通信安全

8、、设备运营管控等风险评估，强化评估体系建设。公司管理者代表结合实际工作，梳理信息安全风险关键点，组织销售部、技术部、综合管理部的员工，开展风险评估体系化工作。2021年4月302遵守甲方制度要求，总经理负责检查和巡检项目经理制度落实情况。包括计算机屏保设置、手机放入手机柜、不先带入移动存储设备等。按照项目进行巡检。总经理带部门经理执行。2021年4月30序号改进内容改进方案负责人完成日期验证人实施情况3围绕数字化管理的相关法律法规，结合信息技术和安全技术的相关管理规范，开展数字化的质量控制、挂接质量等信息系统相关的深入培训。综合管理部组织员工开展学习，组织培训，加强员工信息安全意识；提高设备的信息服务水平；强化设备的信息安全登记、监督、管控水平。2021年4月304基于V 1.0版本，实施管理体系，公司形成持续改进机制。努力实现信息技术相关的管理体系间（27001）融合。在管理者代表的组织下，推进管理体系持续改进，努力结合公司实际运行管理情况，实现体系间融合，或版本升级。2021年4月30报告人/日期：* 2021-03-30总经理审阅批准/日期：*2021-03-30第5页共4页