ISO27001信息安全管理評審計劃+評審報告+各部門輸入材料全套資料OK

1、管理評審計劃編號：ISMS-D-04-1審查目的對公司信息安全管理體系的運行情況進(jìn)行匯報總結(jié)，評價公司信息安全方針、信息安全的目標(biāo)、信息安全管理體系的適宜性、充分性、有效性。審查范圍公司各過程涉及的信息安全管理體系的運行情況審查方式會議審查時間2020.5.30上午8：00審查地點公司會議室參會人員總經(jīng)理、管理者代表、各部門經(jīng)理等審查依據(jù)ISO/IEC 27001:2013；ISMS文件、相關(guān)方要求、適用法律法規(guī)、合同；審查內(nèi)容1、信息安全管理體系適應(yīng)內(nèi)、外部環(huán)境變化和持續(xù)穩(wěn)定、有效性的評估；2、信息安全管理體系對實現(xiàn)信息安全管理方針、信息安全管理目標(biāo)的評估；3、對本公司目前組織結(jié)構(gòu)、職能、人

2、員和資源的適應(yīng)性評估；4、對重大顧客投訴和顧客反饋進(jìn)行評估；5、對本公司開展內(nèi)部信息安全管理體系審核結(jié)論、跟蹤措施及以往糾正預(yù)防措施的有效性，員工對信息安全管理體系改進(jìn)的建議進(jìn)行分析和評估；6、對產(chǎn)品和服務(wù)提供的信息安全管理與標(biāo)準(zhǔn)或顧客要求的符合性進(jìn)行評估；7、對本公司各職能部門所采取預(yù)防措施的有效性進(jìn)行分析和評估；8、對信息安全管理體系文件的實施或上述內(nèi)容的評審是否對有關(guān)文件進(jìn)行更改，對可能影響信息安全管理體系的策劃變更進(jìn)行分析和評估。9、對信息安全管理體系的過程的業(yè)績、有效性及效率的評估。10、對可能影響信息安全管理體系的策劃的變更的評估。11、對信息安全管理體系的風(fēng)險評估和風(fēng)險處理計劃的

3、評審。擬定：審核：審批：日期：2020.5.26管理評審會議記錄編號：ISMS-D-04-2審查地點： 會議室審查日期： 2020.5.30主持人：記錄人：ISO27001:2013信息安全體系實施情況報告 一、文件制定工作公司信息安全體系工作小組及各部門按擬定的ISO27001:2013導(dǎo)入與實施計劃，依據(jù)ISO27001信息安全管理體系的要求，在體系運行前已完成以下文件資料的制定、審核、批準(zhǔn)和發(fā)放：信息安全管理手冊：1份信息安全適用性聲明：1份信息安全策略：1份程序及作業(yè)指導(dǎo)文件：34份二、文件增訂與修訂工作在體系運行過程中，暫還沒有文件有修改過。三、文件執(zhí)行情況1在ISO27001導(dǎo)入初

4、期，進(jìn)行了全員信息安全管理體系標(biāo)準(zhǔn)及體系建立相關(guān)培訓(xùn)，在體系運行前，各部門組織了程序文件及作業(yè)指導(dǎo)書培訓(xùn)，使員工初步形成按文件規(guī)定操作的觀念。2由于文件具有可操作性，內(nèi)容適當(dāng)，培訓(xùn)得力，因此體系文件自運行以來，大部分要素都能達(dá)到ISO27001信息安全管理體系要求。3經(jīng)過本次內(nèi)審，進(jìn)一步加強(qiáng)文件的針對性和執(zhí)行的監(jiān)督，使相對薄弱的環(huán)節(jié)得到改善，相關(guān)信息安全管理記錄切實得到加強(qiáng)。使文件體系的建立和實施圍繞實用、有效的原則運行。四、組織結(jié)構(gòu)、職責(zé)分工、資源與信息安全方針、目標(biāo)合適性情況為了完善公司的組織結(jié)構(gòu)，明確各部門、人員的職責(zé)，在導(dǎo)入ISO27001前就將公司的組織結(jié)構(gòu)與職責(zé)分工明確了下來，并且

5、在信息安全管理手冊中得到反映。并明確相關(guān)部門人員、負(fù)責(zé)人及各自的職責(zé)。通過ISO27001運行情況來看，公司的組織結(jié)構(gòu)與職責(zé)分工整體上來講是適合公司的信息安全方針與信息安全目標(biāo)的需要。但在部門間協(xié)調(diào)與溝通方面還需進(jìn)一步加強(qiáng)和完善。五、體系運行情況及待改善的地方1.各部門要繼續(xù)加強(qiáng)培訓(xùn)信息安全教育與培訓(xùn)，并進(jìn)行相關(guān)的培訓(xùn)考核。將于2020年10月初前進(jìn)行效果驗證。2.存在各部門間協(xié)調(diào)與配合不太好的情況，以后各部門主管要注意這方面的問題，要對部門間達(dá)成的改進(jìn)措施等一定要抓落實，并作好跟蹤記錄，要形成文字記錄，以免出現(xiàn)互相推諉的現(xiàn)象。編制： 審核： 核準(zhǔn)： 日期：2020.5.30管理評審報告編號：

6、ISMS-D-04-3主持人評審日期2020.5.30評審目的對公司信息安全管理體系的運行情況進(jìn)行匯報總結(jié)，評價公司信息安全方針、信息安全的目標(biāo)、信息安全管理體系的適宜性、充分性、有效性。評審內(nèi)容各部門提交的信息安全體系運行報告、信息管理部提交的信息安全管理體系運行情況報告評審時間、地點及程序8:00-12:00公司會議室評審綜述信息安全管理體系適用、有效，暫時沒有需要改進(jìn)的地方。信息安全方針、目標(biāo)、指標(biāo)適宜，暫時不需要改進(jìn)。風(fēng)險評估和風(fēng)險處理計劃目前暫不需要更新。重要問題及糾正預(yù)防措施1.各部門要繼續(xù)加強(qiáng)培訓(xùn)信息安全教育與培訓(xùn)，并進(jìn)行相關(guān)的培訓(xùn)考核。將于2020年10月初前進(jìn)行效果驗證。2.

7、存在各部門間協(xié)調(diào)與配合不太好的情況，以后各部門主管要注意這方面的問題，要對部門間達(dá)成的改進(jìn)措施等一定要抓落實，并作好跟蹤記錄，要形成文字記錄，以免出現(xiàn)互相推諉的現(xiàn)象。評審決議本次管理評審達(dá)到預(yù)期效果，順利通過。相關(guān)附件編制核準(zhǔn)日期2020.5.30會 議 簽 到 表 管理評審 內(nèi)部審核 其它會議 記錄編號：ISMS-D-04-4會議會議姓 名部門及職務(wù)姓 名部門及職務(wù)人力資源部財務(wù)部生產(chǎn)部信息管理部總經(jīng)理管理者代表信息管理部管理評審各部門輸入材料附件一：ISO27001信息安全體系實施情況報告一、文件制定工作公司信息安全體系工作小組及各部門按擬定的ISO27001:2013導(dǎo)入與實施計劃，依據(jù)

8、ISO27001信息安全管理體系的要求，在體系運行前已完成以下文件資料的制定、審核、批準(zhǔn)和發(fā)放：信息安全管理手冊：1份信息安全適用性聲明：1份信息安全策略：1份程序及作業(yè)指導(dǎo)文件：34份二、文件增訂與修訂工作在體系運行過程中，暫還沒有文件有修改過。三、文件執(zhí)行情況1在ISO27001導(dǎo)入初期，進(jìn)行了全員信息安全管理體系標(biāo)準(zhǔn)及體系建立相關(guān)培訓(xùn)，在體系運行前，各部門組織了程序文件及作業(yè)指導(dǎo)書培訓(xùn)，使員工初步形成按文件規(guī)定操作的觀念。2由于文件具有可操作性，內(nèi)容適當(dāng)，培訓(xùn)得力，因此體系文件自運行以來，大部分要素都能達(dá)到ISO27001信息安全管理體系要求。3經(jīng)過本次內(nèi)審，進(jìn)一步加強(qiáng)文件的針對性和執(zhí)行

9、的監(jiān)督，使相對薄弱的環(huán)節(jié)得到改善，相關(guān)信息安全管理記錄切實得到加強(qiáng)。使文件體系的建立和實施圍繞實用、有效的原則運行。四、組織結(jié)構(gòu)、職責(zé)分工、資源與信息安全方針、目標(biāo)合適性情況為了完善公司的組織結(jié)構(gòu)，明確各部門、人員的職責(zé)，在導(dǎo)入ISO27001前就將公司的組織結(jié)構(gòu)與職責(zé)分工明確了下來，并且在信息安全管理手冊中得到反映。并明確相關(guān)部門人員、負(fù)責(zé)人及各自的職責(zé)。通過ISO27001運行情況來看，公司的組織結(jié)構(gòu)與職責(zé)分工整體上來講是適合公司的信息安全方針與信息安全目標(biāo)的需要。但在部門間協(xié)調(diào)與溝通方面還需進(jìn)一步加強(qiáng)和完善。五、體系運行情況及待改善的地方1.各部門要繼續(xù)加強(qiáng)培訓(xùn)信息安全教育與培訓(xùn)，并進(jìn)行

10、相關(guān)的培訓(xùn)考核。2.存在各部門間協(xié)調(diào)與配合不太好的情況，以后各部門主管要注意這方面的問題，要對部門間達(dá)成的改進(jìn)措施等一定要抓落實，并作好跟蹤記錄，要形成文字記錄，以免出現(xiàn)互相推諉的現(xiàn)象。附件二：信息安全方針、目標(biāo)貫徹執(zhí)行情況報告一、信息安全方針和目標(biāo)的制定、發(fā)布公司在ISO27001初期，信息安全體系工作小組就信息安全方針進(jìn)行了討論，并初步形成信息安全方針草案。經(jīng)管理層反復(fù)討論及總經(jīng)理批示，確定現(xiàn)行的信息安全方針，并已正式發(fā)布實施。在體系運行的培訓(xùn)階段，信息安全體系工作小組將公司信息安全方針及制度文件要求作為重要培訓(xùn)內(nèi)容，通過各種渠道向全體員工宣導(dǎo)公司的信息安全規(guī)章制度，全體員工基本上能領(lǐng)會公

11、司信息安全方針及各項要求。二、信息安全方針和目標(biāo)的實施公司依確定的信息安全方針和目標(biāo)建立文件化的信息安全管理體系，由于信息安全方針的頒布實施，公司更加明確了以信息安全風(fēng)險管理為導(dǎo)向，滿足顧客及內(nèi)外部要求的目標(biāo)。自信息安全管理體系運行以來，信息安全目標(biāo)基本達(dá)成。隨著信息安全管理水平的提升，客戶對公司的滿意程度不斷提升，并爭取客戶更高層次的信任。為了配合公司信息安全方針和目標(biāo)的持續(xù)實現(xiàn)，公司各部門特別是綜合部組織開展一系列的培訓(xùn)活動，以提高員工的信息安全意識。三、信息安全方針和目標(biāo)實施的評價詳見信息安全目標(biāo)統(tǒng)計表。通過以上事實，說明公司的信息安全方針與目標(biāo)已部分體現(xiàn)了公司、客戶的需求，適應(yīng)公司發(fā)展

12、的需要，得到了全體員工的理解和接受，因此也得到了很好的貫徹和實施。附件三：內(nèi)審糾正措施完成情況報告一、內(nèi)審不合格情況 信息安全內(nèi)部審核小組在公司領(lǐng)導(dǎo)指導(dǎo)下，于2018年5月20日進(jìn)行本年度的內(nèi)部審核工作。此次內(nèi)審是公司實施ISO27001信息安全管理體系后的第一次內(nèi)審。審核的詳細(xì)情況見內(nèi)部審核報告。本次內(nèi)審共發(fā)現(xiàn)不合格現(xiàn)象1項，對不合格項的糾正措施實施情況見內(nèi)部審核不符合報告。二、糾正措施實施情況說明對于本次內(nèi)審發(fā)現(xiàn)的不合格項現(xiàn)象，已全部實施糾正措施，且經(jīng)審核員驗證切實可行，希望各部門持續(xù)改善并取得好成績。附件四：信息管理部、信息管理部ISO27001導(dǎo)入工作報告公司自導(dǎo)入ISO27001的推

13、行工作以來，信息管理部在公司各部門的大力支持配合及顧問公司老師的指導(dǎo)下，確保信息安全風(fēng)險評估、信息安全管理體系文件的編制等重要工作順利進(jìn)行，且體系也已按計劃正常運行。信息資產(chǎn)風(fēng)險評估工作是ISO27001體系建設(shè)的重要一環(huán)，在各部門接口人員的配合下，完成了全公司的信息資產(chǎn)識別、風(fēng)險評估，包括軟件、硬件、數(shù)據(jù)、人員及服務(wù)等；針對重要信息資產(chǎn)進(jìn)行了風(fēng)險評估，并針對評估出的高、中風(fēng)險制定風(fēng)險處理計劃，各相關(guān)責(zé)任部門均按計劃執(zhí)行風(fēng)險處理，基本實現(xiàn)了信息資產(chǎn)風(fēng)險管理。對整個信息安全管理體系從文件編制、控制、發(fā)放、回收等各流程進(jìn)行了管控，確保體系文件得到了正常、規(guī)范化運轉(zhuǎn)。信息管理部組織各部門實施了全面的

14、信息安全管理體系內(nèi)部審核，內(nèi)審工作按期順利完成，也促進(jìn)了體系的不斷改進(jìn)，提高各部門對體系的認(rèn)知，同時，在一定程度上也提升了各部門員工的安全意識。另外，規(guī)范了辦公電腦的日常安全使用，包括帳號密碼強(qiáng)度符合公司制度要求、啟用屏幕保護(hù)功能、及時清理電腦桌面及辦公桌面、安裝防病毒軟件并定期查殺病毒等。建立了信息系統(tǒng)相關(guān)的業(yè)務(wù)連續(xù)性管理機(jī)制，包括制定業(yè)務(wù)連續(xù)性管理計劃，并進(jìn)行了演練測試，測試完成后對計劃進(jìn)行了評審，確保業(yè)務(wù)連續(xù)性計劃符合公司實際情況及業(yè)務(wù)要求。針對各部門的辦公電腦進(jìn)行了全面的安全檢查，包括辦公電腦補(bǔ)丁的安裝、防病毒系統(tǒng)的安裝及設(shè)置、屏幕保護(hù)的設(shè)置等等，提高了公司辦公電腦的安全管控水平，同時

15、也促進(jìn)了員工辦公安全意識的普及和推廣。建議：在公司業(yè)務(wù)不斷發(fā)展的過程中，隨著公司信息化程度的提高，考慮進(jìn)一步采取適當(dāng)?shù)陌踩夹g(shù)措施，以有效提升公司的信息安全管控水平。附件五：人力資源部ISO27001導(dǎo)入工作報告自從導(dǎo)入ISO27001信息安全管理體系以來，商務(wù)運營部在公司各部門的大力支持配合及顧問公司老師的指導(dǎo)下，在信息安全管理等方面得到了較大改觀。一、參與了與本部門直接相關(guān)的程序文件的編制及修訂，確保體系文件能在本部門內(nèi)部被順利執(zhí)行。二、完善公司供應(yīng)商信息。負(fù)責(zé)公司采購物品的管理以及供應(yīng)商的管理三、加強(qiáng)了商務(wù)運營部電子文檔的安全保密管理，包括重要電子文檔進(jìn)行加密存放、加密傳輸，不再使用的電

16、子文檔進(jìn)行數(shù)據(jù)清除等。四、規(guī)范了部門內(nèi)部辦公電腦的安全使用，包括增強(qiáng)帳號密碼強(qiáng)度、設(shè)置屏幕保護(hù)、及時清理辦公電腦桌面、安裝防病毒軟件并定期查殺病毒等。后續(xù)工作過程中，部門還需要繼續(xù)保持安全工作的習(xí)慣，加強(qiáng)部門文檔的安全保密管理，確保不發(fā)生重要信息泄露事件。附件六：人力資源部ISO27001導(dǎo)入工作報告公司自推行ISO27001信息安全管理體系以來，人力資源部積極配合體系的建設(shè)與推行。以下是人力資源部對推行工作以來的工作匯總報告：一、參與了與本部門直接相關(guān)的程序文件的編制及修訂，確保體系文件能在本部門內(nèi)部被順利執(zhí)行。二、參加公司組織實施的多次信息安全培訓(xùn)，包括ISO27001標(biāo)準(zhǔn)培訓(xùn)、信息安全風(fēng)

17、險評估方法培訓(xùn)、信息安全管理體系文件培訓(xùn)、信息安全內(nèi)審方法培訓(xùn)等；同時在部門內(nèi)部就日常信息安全工作注意事項進(jìn)行了宣貫，增進(jìn)了部門員工對ISO27001標(biāo)準(zhǔn)的理解，也提升了大家的信息安全意識。三、加強(qiáng)了部門電子文檔的安全保密管理，包括重要電子文檔進(jìn)行加密存放、加密傳輸?shù)?。四、在部門內(nèi)部進(jìn)行了辦公電腦安全使用的宣貫及安全優(yōu)化，包括設(shè)置高強(qiáng)度的帳號密碼、給辦公電腦設(shè)置屏幕保護(hù)、定期升級防病毒軟件并查殺病毒等。附件七：財務(wù)部ISO27001:2013導(dǎo)入工作報告公司自推行ISO27001:2013信息安全管理體系以來，全公司從上到下都積極地投入到這一體系中。以下是財務(wù)部對推行工作以來的工作匯總報告：一、參與了與本部