最新ISO27001-2013管理評審全套

1、IS027001-2013管理評審計劃編制部門：信息安全管理委員會時間：2017年10月10日評審日期2017年10月15日地點會議室主持人XXXX管理評審目的/范圍：目的：通過信息安全管理體系評審，檢查各部門執(zhí)行體系的情況，驗證適宜性、充分性、有效性。范圍：適用于評審組織的ISMS,包括信息安全方針和信息安全目標的評審。管理評審的主要內(nèi)容：a） ISMS審核和評審的結(jié)果、方針和目標；b）相關(guān)方的反饋；c）可以用于改進ISMS業(yè)績及有效性的技 術(shù)、產(chǎn)品或程序；d）糾正和預(yù)防措施的實施情況；e）在以前風(fēng)險評估沒有充分提出的薄弱點或威脅；f）以 往管理評審的跟蹤措施；g）可能影響ISMS的任何更改

2、；h）改進的建議。管理評審的進度安排：各部門做好本部門信息安全管理體系的總結(jié)評價，電子郵件至管理者代表，由管代整理完成管 理評審輸入材料；各部門于10月14日前將管理評審輸入報告電子檔送管理者代表處匯總；管理者代表整理匯總各部門的改進建議，起草作為管理評審輸入提交公司總經(jīng)理；10月15日召開管理評審會議，作出改進決定。向管理評審會議提交書面材料及口頭報告的要求：本年度ISMS內(nèi)部審核結(jié)果的匯報（匯報人：管理者代表）員工、顧客反饋信息和滿意程度的測量結(jié)果的匯報（匯報人：各部門）用于改進ISMS執(zhí)行情況和有效性的技術(shù)、產(chǎn)品、規(guī)程（匯報人：各部門）糾正和預(yù)防措施的實施情況的匯報（匯報人：各部門）之前

3、風(fēng)險評估沒有充分強調(diào)的脆弱點或威脅；風(fēng)險處理計劃的執(zhí)行情況（匯報人：行政部）信息安全方針和信息安全目標的適宜性和有效性、法律法規(guī)、控制目標等有效性的測量；（匯報 人：行政部）以往管理評審的跟蹤措施；（本次不適用）可能影響ISMS的任何變更；（匯報人：各部門）總經(jīng)理總結(jié)發(fā)言，答復(fù)各部門建議、提出改進措施。管理評審會議參加的人員范圍：公司總經(jīng)理、信息安全管理委員會全員、內(nèi)審員、各部門主管。管理評審報告發(fā)放日期及范圍：管理評審報告于評審會議結(jié)束后的2日內(nèi)發(fā)出。發(fā)至：總經(jīng)理、管理者代表、公司各部門。審批：2017年10月10日深圳市XXX有限公司深圳市XXX有限公司IS027001-2013管理評審輸

4、入報告匯總擬定參與人：行政部、研發(fā)部、管代、總經(jīng)理擬定時間：2017年10月15日擬定地點：公司會議室管理層：1安全方針和目標是正在實現(xiàn)過程中，考慮到剛剛實行體系暫不作調(diào)整。過去3個月中所取 得的業(yè)績比較良好，目標經(jīng)考核基本能實現(xiàn)；2管理人員和監(jiān)督人員過去3個月中管理與監(jiān)督的狀況基本達到預(yù)期要求；3管理體系運行受控最高管理者帶動員工對滿足顧客和法律法規(guī)要求的重要性具有明確的認識，能履行 其承諾，管理職責(zé)明確，重視并參與對信息安全管理體系的建立、保持和推動持續(xù) 改進活動。員工能準確答出公司信息安全方針和目標，體現(xiàn)了全員參與。但個別職 能部門信息安全活動和人員中有責(zé)任不到位的情況。建立的信息安全方

5、針和信息安全目標適合于組織的特點，在組織內(nèi)得到溝通和理解, 信息安全目標基本有可測量性；但部分信息安全分目標的適宜性需進一步修改，并 應(yīng)對測算方法作進一步改善。行政部：1、員工培訓(xùn)教育在本年度進行了 5次培訓(xùn)，培訓(xùn)結(jié)果基本滿意。2、需要不斷提高員工的信息安全意識。3、暢通顧客意見的渠道，加強收集顧客意見，增強重點項目、重點客戶的意見反饋。4、物理防范措施受條件所限只能滿足最低要求，控制還算得當(dāng)，未出現(xiàn)嚴重違反公司相關(guān) 制度情況。5、內(nèi)外部員工的保密協(xié)議已經(jīng)簽署完畢，第三方的保密合同正在落實完善過程中。6、體系組織結(jié)構(gòu)合理，能覆蓋全公司各個部門，崗位職責(zé)明確，相關(guān)書面材料尚在進一步 調(diào)整過程。研

6、發(fā)部：1盡快完成支持業(yè)務(wù)可持續(xù)性設(shè)備的科學(xué)演練，在演練過程中需要考慮信息安全。2加強人員對糾正預(yù)防措施處理意見的學(xué)習(xí)，提高本公司糾正預(yù)防能力3風(fēng)險評估報告、可接受風(fēng)險等級、報告中提出的薄弱點或威脅得到減緩和消除現(xiàn)狀均能接 受。4其他部門對網(wǎng)絡(luò)部的安全服務(wù)設(shè)置基本滿意。5針對信息實時備份需求，需要安排一定時間建設(shè)實時備份系統(tǒng)。6需加強員工對軟件及應(yīng)用專業(yè)知識和相關(guān)法律法規(guī)的學(xué)習(xí)，7完善應(yīng)急預(yù)案編制，加強對威脅的認識。8提高數(shù)據(jù)存儲機房的管理水平。9細化日常檢測工作，提高工作效率。管理者代表：1、糾正措施和預(yù)防措施針對2個不符合項制定了糾正措施，糾正措施實施經(jīng)跟蹤證明有效。2、法律法規(guī)收集齊備，經(jīng)

7、驗證，均能得到滿足，相關(guān)控制目標的完成情況良好，經(jīng)考評也 能達標，未發(fā)生客戶投訴。匯總?cè)耍簠R總?cè)掌冢?017年10月14日IS027001-2013管理評審報告深圳市XXX有限公司深圳市XXX有限公司評審日期：2017年10月15日評審目的：驗證體系運行的有效性，尋找改進點。分析2016-2017年度外審前信息安全工作完成情況，評價管理體系的適宜性、 充分性、有效性，明確本年度工作目標，提出改進措施、建議，確保信息安全 方針、目標的實現(xiàn)和滿足法律法規(guī)和客戶的需求。一、評審內(nèi)容：安全方針和目標是否正在實現(xiàn)，過去3個月中所取得的業(yè)績是否達到、完成 或超過安全方針和目標的要求；管理人員和監(jiān)督人員過去

8、3個月中管理與監(jiān)督的狀況，法律法規(guī)的滿足程 度、以及是否達到預(yù)期要求；管理體系運行是否受控、是否有效（近期內(nèi)審結(jié)果），體系文件的事宜性；糾正措施和預(yù)防措施執(zhí)行情況如何；聽取資源充分性報告；風(fēng)險評估報告、可接受風(fēng)險等級、報告中提出的薄弱點或威脅；客戶反饋意見的匯總分析；員工培訓(xùn)教育情況分析報告；客戶投訴及其處理情況匯總；改進的建議； 其他日常管理議題。二、評審組成員：總經(jīng)理、管代、各部門經(jīng)理、內(nèi)審員。三、評審意見和結(jié)論：1、本公司按照IS027001： 2013的要求建立的管理體系，全面覆蓋了的業(yè)務(wù)活 動。從運行以來，管理體系得到了不斷地改進與完善，總體運行情況良好。2 ISMS-1001信息安

9、全管理手冊規(guī)定的本公司的安全方針、目標，符合準 則要求和本公司實際情況，通過努力正在逐步實現(xiàn)。3、ISMS-1001信息安全管理手冊中所列的控制項是真實的。與之相關(guān)聯(lián)的 機構(gòu)和崗位設(shè)置是合理的，機構(gòu)及崗位的職責(zé)分工明確，切實可行；與之相關(guān) 聯(lián)的人力資源和設(shè)備資源配置是充分的、合理的；與之相關(guān)聯(lián)的物理環(huán)境條件 是符合要求的；各個要素、各個程序和各個環(huán)節(jié)之間的銜接循環(huán)是封閉的。4、管理體系運行以來，管理及監(jiān)督人員開展了有效的工作，監(jiān)督管理工作有明 顯成效。共進行了1次內(nèi)審，內(nèi)審覆蓋了本公司與軟件研發(fā)與技術(shù)服務(wù)的所有管理活動 和技術(shù)活動，內(nèi)審共發(fā)現(xiàn)2個不符合項，這些問題均已得到了糾正；糾正措施 執(zhí)行

10、情況良好。硬件、采用附錄A中的11類控制方式，130個控制點得到了滿意的結(jié)果，存在 少量的一些問題（詳見內(nèi)審報告），也已提交了整改報告。硬件、我司開展的風(fēng)險評估活動，識別了公司各類信息資產(chǎn)，并進行風(fēng)險評價。 本公司規(guī)定風(fēng)險評估結(jié)果中風(fēng)險等級24定義為不可接受風(fēng)險，需要對信息資 產(chǎn)米取一定控制措施進彳丁處置，本次風(fēng)險評估識別出高風(fēng)險，并就高風(fēng)險資產(chǎn)深圳市XXX有限公司識別對應(yīng)的脆弱性和威脅值。具體對其處置見ISMS-402硬件信息安全不可 接受風(fēng)險處理計劃。公司組織召開信息安全管理委員會，大會決議接受風(fēng)險處 置后的殘余風(fēng)險。硬件、客戶反饋的意見，如對信息安全的信心保證；體系運行至今未接到客戶 投

11、訴，但通過認證是增加信心的有效手段，顧客意見將得到滿足。硬件、內(nèi)部控制活動正常，但信息溝通還需進一步通暢，員工自覺學(xué)習(xí)的氛圍 還沒有形成，培訓(xùn)的方式要不斷改進。9、現(xiàn)場記錄填寫的質(zhì)量存在問題較多，需進一步加強；內(nèi)審員的監(jiān)督作用需要 加強并充分發(fā)揮。10、員工信息安全意識需要加強、培訓(xùn)的力度要加大?？深A(yù)見的，我公司近年 工作類型不會發(fā)生重大變化，工作量將會進一步增加。計算機系統(tǒng)的點檢監(jiān)督 監(jiān)測頻次可以根據(jù)病毒的爆發(fā)情況及相關(guān)法律法規(guī)、戰(zhàn)略目標的調(diào)整再次增加; 為了進一步加強為客戶的服務(wù)，提高自己的競爭能力，對控制措施的考評方法 可進一步完善。11、公司各方面日常管理需要進一步規(guī)范，保證信息安全管

12、理體系有效穩(wěn)定運 行。綜上所述，本公司的信息安全管理體系文件是一套文件化的完整的受控的體系 文件；并建立了相應(yīng)的組織機構(gòu)、設(shè)置了相應(yīng)的崗位、配備了相應(yīng)的人員，其 機構(gòu)、崗位和人員的職責(zé)明確，配置了相應(yīng)的檢測設(shè)備、軟件、采用符合要求 的標準、方法標準、測試軟件、程序和有效服務(wù)。由此建立的一個為達到信息 安全方針和目標而相互關(guān)聯(lián)的要素進行了系統(tǒng)優(yōu)化整合的管理體系，本公司應(yīng) 用軟件開發(fā)的活動是適宜的、充分的和有效的。四、會議決定：1、現(xiàn)行實施的管理體系文件是本公司信息安全管理體系運行的唯一的指導(dǎo)性文 件。2、本公司各部門和全體人員、外包方都必須按照體系文件的規(guī)定，指導(dǎo)、約束 自己的行為，履行自己的崗

13、位職責(zé)；應(yīng)注意利用日常點檢，不斷確定持續(xù)改進 的措施，實現(xiàn)本公司的信息安全方針和目標。3、本公司總經(jīng)理應(yīng)帶領(lǐng)全體人員積極營造創(chuàng)建學(xué)習(xí)型企業(yè)的氛圍和文化，保證 管理體系的有效運行。4、由總經(jīng)理及時完成本次管理評審報告；綜合管理部負責(zé)整理本次管理評審記 錄并歸檔，同時傳遞給其他部門，輸入下一年度計劃。硬件、管理評審報告分發(fā)范圍：各部門負責(zé)人和內(nèi)審員。五、對今后工作的改進要求：1、應(yīng)不斷提高全員的信息安全意識，保證管理體系的有效運行和持續(xù)改進，提 高體系文件的運行效率，通過體系外審視最近的目的。2、加強對體系文件的宣貫和學(xué)習(xí)，講究方式，提高效率；加強對軟件及應(yīng)用專 業(yè)知識和相關(guān)法律法規(guī)的學(xué)習(xí)，確保他們具有與其所承擔(dān)任務(wù)相適應(yīng)的工作能 力。3、進一步完善應(yīng)急預(yù)案編制，加強對威脅的認識，并據(jù)此完善調(diào)查制度，逐步 建設(shè)一套完善的應(yīng)急監(jiān)測、響應(yīng)系統(tǒng)。4、進一步加強數(shù)據(jù)儲存管理，不斷提高管理的應(yīng)用的水平，盡快完善同步備份 制度或者盡量減少儲存的備份時差。管理者代表:總經(jīng)理:日期：2017年10月15日管理者代表:總經(jīng)理:日期：2017年10月15日深圳市XXX有限公司硬件、進一步了解管理部門、社會各界需求及市場的需求，細分這些需求，逐 步滿足這些需求，增強本公司競爭力。硬件、日常監(jiān)測工作的安排要提前，加強計劃性，細化月計劃、周計