信息安全管理体系管理评审报告.pdf

《信息安全管理体系管理评审报告.pdf》由会员分享，可在线阅读，更多相关《信息安全管理体系管理评审报告.pdf（5页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、信息安全管理体系管理评审报告评审日期:2020年1月24日评审目的：分析2019年度ISMS体系建立，及IS027001外审前工作完成情况，评价管理体 系的 适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确 保信息安 全方针、目标的实现和满足法律法规和客户的需求。评审内容：k安全方针和目标是否正在实现，过去3个月中所取得的业绩是否达到、完成或超过 安全方针和目标的要求；2、管理人员和监督人员过去3个月中管理与监督的状况，是否达到预期要求；3、管理体系运行是否受控、是否有效（近期内审结果）；4、纠正措施和预防措施执行情况如何；5、听取资源充分性报告；6、风险评估中提出的薄弱点或

2、威胁；7、客户反馈意见的汇总分析；8、员工培训教育情况分析报告；9、客户投诉及其处理情况汇总；10、改进的建议；1K其他日常管理议题。评审组成员：评审意见和结论：k本公司按照IS027001:2005的要求建立的信息安全管理体系全面覆盖了我公司的各 项 经营管理活动。自运行以来，信息安全管理体系得到了持续不断的改进与完善，总体运行 情况良 好，在过去三个月没有发生信息安全事件。见证资料：AQ2G-05-S003信息安全目标V1.0,2019年信息安全目标统计表。2、信息安全管理手册规定的本公司的信息安全方针、目标，符合027001:2005准 则要求和本公司实际情况，在公司全体员工的努力下正在

3、逐步实现。3、信息安全管理手册中所列的控制项（133项参数或指标）是真实的。与之相关联 的机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行。与之相关联的人力资源和 设备资源配置是充分的、合理的。与之相关联的物理环境条件是符合要求的。各个要素、各个程 序和各个环节之间的衔接循环是圭寸闭的。4、信息安全管理体系运行以来，信息安全工作小组及各部门信息安全员开展了有效的工作，信息安全措施的落实情况有明显成效。进行了丄次内审，覆盖了本公司所有管理活动和技术活动，内审共发现Z个不符合项。对不符合项进行了原因分析，提出了具体处置 办法。这些问题均已得到有效纠正，纠正措施执行情况良好。见证资料：内审

4、计划及不符合项报告202001215、采用附录A中的类控制方式，其中删减了_8_处，其余12工个控制点得到了满意的结 果，对存在的个别问题及时进行了整改。见证资料：信息安全内部审核检查表6对公司信息资产进行了调查和确认：经过对公司资产的信息收集和梳理，共确认信 息资产994项，其中IT类信息资产604项，财务类16项，行政类350项，人力资源类12项，研发类12项。经过对信息资产的风险评分，最终确认有8个信息资产的风险值达到12分，属于重大风 险信息资产。经IT部门分析，给出了对应的处置措施。见证资料：信息资产识别及评价表20200124,ISMS重大风险清单与处置计划，信 息资产风险评估评审

5、报告20200123)o7、我公司2020年度的产品研发任务和经营管理任务将会进一步增加。信息安全体系的检 查、监督、监测可以适当增加频次。为进一步满足客户需求，提高产品竞争力，计划委托 第三方 机构对产品软硬件的性能和安全性做更加专业的检测和评估。8、客户反馈的意见是我公司持续改进产品性能和服务的重要信息来源。2019年，我公 司呼叫中心客服人员为用户提供了大量的语音导航、应急救援等服务，帮助用户找回被盗车辆2部，2019年第四季度未接到用户重大投诉。对用户数据采取了必要的安全保护和数据备 份。9、经过多次培训，以及新员工入职培训，公司各部门、各位员工都基本上能自觉遵守 公司 信息安全管理要

6、求，理解并主动配合信息安全体系的实施。信息安全管理体系在公司内部的控制 活动开展较为顺利、正常。但是，部门之间的协调以及信息沟通还需进一步通畅，培训的方式还 要不断改进，培养员工良好的信息安全意识。10、现场记录的填写存在问题较多，比如：没有按时记录，记录不够详细，格式不够规 范，必须进一步加强现场记录的监督检查。内审员的监督作用需要加强并充分发挥。1K 2020年元月，BSI对我公司IS027001进行了第一阶段审核，并提出一些合理化的建议。我们对此进行了认证分析，提出整改措施，并已全部落实。见证资料:(fl S027001第一阶段审核整改报告综上所述，本公司的信息安全管理体系文件是一套文件

7、化的完整的受控的体系文件，并建立 了相应的组织机构，设置了相应的岗位，配备了相应的人员。其机构、岗位和人员的职责明确，配置了相应的检测设备和软件，采用符合要求的标准、方法、测试软件、程序和有 效服务。通过 对关联要素的优化整合，建立了公司信息安全管理体系，努力实现公司信息安全的方针和目标。会议作出以下决议：1、目前正在实施的信息安全管理体系文件是本公司信息安全管理体系运行的唯一指导性文件，具有强制性。2、公司各部门和全体员工，以及外包方人员，都必须按照信息安全管理体系文件的规 定，指导、约束自己的行为，履行自己的安全义务。应注意利用日常点检，不断确定持续改进的措 施，实现公司的信息安全方针和目

8、标。3、公司总经理应带领全体员工积极营造创建学习型企业的氛围和文化，让信息安全成为企 业文化的重要组成部分，养成遵守信息安全的良好意识和行为习惯，保证信息安全管理 体系的有 效运行。4、由信息安全代表负责完成本次管理评审报告，并报总经理审核批准。IT部负责整理本 次管理评审记录并归档，同时传递给其他相关部门。5、管理评审报告分发范围：各部门负责人和内审员。对今后工作的改进要求：1、不断提高全员的信息安全意识，保证信息安全管理体系的有效运行和持续改进，提高体 系文件的运行效率。2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软硬件开发及应用的专业 知识和知识产权相关法律法规的学习，注意对公司知识产权的保护。3、进一步完善应急预案编制，加强对信息资产所面临的威胁的辨识和评级，并据此完 善调 查制度，逐步建设一套完善的应急监测、响应系统。4、进一步加强对公司重要数据的储存和备份管理，不断提高数据的安全性和完整性。5、日常监测和检查要认证落实到位，加强计划性。各项工作开始之前要做好充分细致的准备，降低忙中出错的几率。6、加强对纠正预防措施处理意见的学习，并以此为鉴，细化信息安全的各项工作。上半年派相关人员前往咨询机构做进一步的学习和交流，提高公司信息安全化水平。7、上述输出，要在下次监督审核以前完成，责成各主管职能部门经理监督负责。管理者代表：总经理:日期: