信息安全管理體系測試結(jié)果表

信息安全管理體系測試結(jié)果報告測試評審日期：2020年3月20日測試評審目的：分析外審前信息安全工作完成情況，評價管理體系的適宜性、充分性、有效性，明確本年度工作目標，提出改進措施、建議，確保信息安全方針、目標的實現(xiàn)和滿足法律法規(guī)和客戶的需求。測試評審內(nèi)容：安全方針和目標是否正在實現(xiàn)，過去3個月中所取得的業(yè)績是否達到、完成或超過安全方針和目標的要求；管理人員和監(jiān)督人員過去1個月中管理與監(jiān)督的狀況，是否達到預期要求；③管理體系運行是否受控、是否有效（近期內(nèi)審結(jié)果）；④糾正措施和預防措施執(zhí)行情況如何；⑤聽取資源充分性報告；⑥風險評估中提出的薄弱點或威脅；⑦客戶反饋意見的匯總分析；⑧員工培訓教育情況分析報告；⑨客戶投訴及其處理情況匯總；⑩改進的建議；?其他日常管理議題。評審組成員：曹飛澎張小波嚴玉成評審意見和結(jié)論：1、本公司按照ISO27001：2013的要求建立的管理體系全面覆蓋了計算機軟件開發(fā)生產(chǎn)活動；從運行以來，管理體系得到了不斷地改進與完善，總體運行情況良好。2、《ISMS手冊》規(guī)定的本公司的安全方針、目標，符合準則要求和本公司實際情況，通過努力正在逐步實現(xiàn)。3、《ISMS手冊》中所列的控制項（133項參數(shù)或指標）是真實的。與之相關聯(lián)的機構(gòu)和崗位設置是合理的，機構(gòu)及崗位的職責分工明確，切實可行；與之相關聯(lián)的人力資源和設備資源配置是充分的、合理的；與之相關聯(lián)的物理環(huán)境條件是符合要求的；各個要素、各個程序和各個環(huán)節(jié)之間的銜接循環(huán)是封閉的。4、管理體系運行以來，管理及監(jiān)督人員開展了有效的工作，監(jiān)督管理工作有明顯成效。下半年共進行了1次內(nèi)審,內(nèi)審覆蓋了本公司所有管理活動和技術(shù)活動，內(nèi)審共發(fā)現(xiàn)1個不符合項，這些問題均已得到了糾正；糾正措施執(zhí)行情況良好。5、采用附錄A中的11類控制方式，存在少量的一些問題（詳見內(nèi)審報告）6、我公司年度工作類型不會發(fā)生重大變化，工作量將會進一步增加。計算機系統(tǒng)的點檢監(jiān)督監(jiān)測頻次可以再次增加；為了進一步加強為客戶的服務，提高自己的競爭能力，委托監(jiān)測軟件的測量也可進一步增加7、客戶反饋的意見，如對信息安全的信心保證；2019年07月至2019年10月未接到客戶投訴，但通過認證是增加信心的有效手段，顧客意見將得到滿足。8、內(nèi)部控制活動正常，但信息溝通還需進一步通暢，員工自覺學習的氛圍還沒有形成，培訓的方式要不斷改進。9、現(xiàn)場記錄填寫的質(zhì)量存在問題較多，需進一步加強；內(nèi)審員的監(jiān)督作用需要加強并充分發(fā)揮。綜上所述，本公司的信息安全管理體系文件是一套文件化的完整的受控的體系文件；并建立了相應的組織機構(gòu)、設置了相應的崗位、配備了相應的人員，其機構(gòu)、崗位和人員的職責明確，配置了相應的檢測設備、軟件、采用符合要求的標準、方法標準、測試軟件、程序和有效服務。由此建立的一個為達到信息安全方針和目標而相互關聯(lián)的要素進行了系統(tǒng)優(yōu)化整合的管理體系，對本公司開展數(shù)據(jù)存儲、培訓等活動是適宜的、充分的和有效的。會議作出以下決議：1、現(xiàn)行實施的管理體系文件是本公司信息安全管理體系運行的唯一的指導性文件。2、本公司各部門和全體人員、外包方都必須按照體系文件的規(guī)定，指導、約束自己的行為，履行自己的崗位職責；應注意利用日常點檢，不斷確定持續(xù)改進的措施，實現(xiàn)本公司的信息安全方針和目標。3、本公司總經(jīng)理應帶領全體人員積極營造創(chuàng)建學習型企業(yè)的氛圍和文化，保證管理體系的有效運行。4、由總經(jīng)理及時完成本次管理評審報告；軟件部負責整理本次管理評審記錄并