信息安全管理體系管理評(píng)審報(bào)告

信息安全治理體系治理評(píng)審報(bào)告評(píng)審日期:2020124日2019ISMS體系建立，及IS027001外審前工作完成狀況，評(píng)價(jià)治理體系的適宜針、目標(biāo)的實(shí)現(xiàn)和滿足法律法規(guī)和客戶的需求。評(píng)審內(nèi)容：k3全方針和目標(biāo)的要求；23個(gè)月中治理與監(jiān)視的狀況，是否到達(dá)預(yù)期要求；3、治理體系運(yùn)行是否受控、是否有效〔近期內(nèi)審結(jié)果〕；4、訂正措施和預(yù)防措施執(zhí)行狀況如何；5、聽(tīng)取資源充分性報(bào)告；6、風(fēng)險(xiǎn)評(píng)估中提出的薄弱點(diǎn)或威逼；7、客戶反響意見(jiàn)的匯總分析；8、員工培訓(xùn)教育狀況分析報(bào)告；9、客戶投訴及其處理狀況匯總；101K其他日常治理議題。評(píng)審組成員：評(píng)審意見(jiàn)和結(jié)論：k本公司依據(jù)IS027001:2005的要求建立的信息安全治理體系全面掩蓋了我公司的各項(xiàng)經(jīng)營(yíng)治理去三個(gè)月沒(méi)有發(fā)生信息安全大事。見(jiàn)證資料：《AQ2G-05-S003信息安全目標(biāo)V1.0》,《2019年信息安全目標(biāo)統(tǒng)計(jì)表》。2、 《信息安全治理手冊(cè)》規(guī)定的本公司的信息安全方針、目標(biāo)，符合027001:2005準(zhǔn)則要求和本公司實(shí)際狀況，在公司全體員工的努力下正在逐步實(shí)現(xiàn)。3、《信息安全治理手冊(cè)》中所列的掌握項(xiàng)〔133項(xiàng)參數(shù)或指標(biāo)〕是真實(shí)的。與之相關(guān)聯(lián)的機(jī)之間的連接循環(huán)是圭寸閉的。4工作，信息安全措施的落實(shí)狀況有明顯成效。 進(jìn)展了丄次內(nèi)審，掩蓋了本公司全部治理活動(dòng)和技術(shù)活動(dòng)，內(nèi)審共覺(jué)察Z個(gè)不符合項(xiàng)。對(duì)不符合項(xiàng)進(jìn)展了緣由分析，提出了具體處置方法。這些問(wèn)題均已得到有效訂正，訂正措施執(zhí)行狀況良好。見(jiàn)證資料：《內(nèi)審打算及不符合項(xiàng)報(bào)告20200121》5、承受附錄A中的類掌握方式，其中刪減了_8_12工個(gè)掌握點(diǎn)得到了滿足的結(jié)果，對(duì)存在的個(gè)別問(wèn)題準(zhǔn)時(shí)進(jìn)展了整改。見(jiàn)證資料：《信息安全內(nèi)部審核檢查表》6994IT6041635012項(xiàng)，研發(fā)類12812分，屬于重大風(fēng)險(xiǎn)信息IT部門分析，給出了對(duì)應(yīng)的處置措施。見(jiàn)證資料：《信息資產(chǎn)識(shí)別及評(píng)價(jià)表20200124?,《ISMS重大風(fēng)險(xiǎn)清單與處置打算》，20200123)o72020年度的產(chǎn)品研發(fā)任務(wù)和經(jīng)營(yíng)治理任務(wù)將會(huì)進(jìn)一步增加。信息安全體系的檢查、產(chǎn)品軟硬件的性能和安全性做更加專業(yè)的檢測(cè)和評(píng)估。8、客戶反響的意見(jiàn)是我公司持續(xù)改進(jìn)產(chǎn)品性能和效勞的重要信息來(lái)源。2019年，我公司呼叫中心客服人員為用戶供給了大量的語(yǔ)音導(dǎo)航、應(yīng)急救援等效勞，幫助用戶找回被盜車2部，2019年第四季度未接到用戶重大投訴。對(duì)用戶數(shù)據(jù)實(shí)行了必要的安全保護(hù)和數(shù)據(jù)備份。9進(jìn)，培育員工良好的信息安全意識(shí)。10進(jìn)一步加強(qiáng)現(xiàn)場(chǎng)記錄的監(jiān)視檢查。內(nèi)審員的監(jiān)視作用需要加強(qiáng)并充分發(fā)揮。1K2020年元月，BSIIS027001進(jìn)展了第一階段審核，并提出一些合理化的建議。我們對(duì)此進(jìn)展了認(rèn)證分析，提出整改措施，并已全部落實(shí)。見(jiàn)證資料:(flS027001第一階段審核整改報(bào)告》決議：1、目前正在實(shí)施的信息安全治理體系文件是本公司信息安全治理體系運(yùn)行的唯一指導(dǎo)性文件，具有強(qiáng)制性。2公司的信息安全方針和目標(biāo)。3、公司總經(jīng)理應(yīng)帶著全體員工樂(lè)觀營(yíng)造創(chuàng)立學(xué)習(xí)型企業(yè)的氣氛和文化，讓信息安全成為企業(yè)文行。4、由信息安全代表負(fù)責(zé)完本錢次治理評(píng)審報(bào)告，并報(bào)總經(jīng)理審核批準(zhǔn)。IT部負(fù)責(zé)整理本次管理評(píng)審記錄并歸檔，同時(shí)傳遞給其他相關(guān)部門。5、治理評(píng)審報(bào)告分發(fā)范圍：各部門負(fù)責(zé)人和內(nèi)審員。對(duì)今后工作的改進(jìn)要求：1文件的運(yùn)行效率。2和學(xué)問(wèn)產(chǎn)權(quán)相關(guān)法律法規(guī)的學(xué)習(xí)，留意對(duì)公司學(xué)問(wèn)產(chǎn)權(quán)的保護(hù)。3制度，逐步建設(shè)一套完善的應(yīng)急監(jiān)測(cè)、響應(yīng)系統(tǒng)。4、進(jìn)一步加強(qiáng)對(duì)公司重要數(shù)據(jù)的儲(chǔ)存和備份治理，不斷提高數(shù)據(jù)的安全性和完整性。5、日常監(jiān)測(cè)和檢查要認(rèn)證落實(shí)到位，加強(qiáng)打算性。各項(xiàng)工作開(kāi)頭之前要做好充分細(xì)致的預(yù)備，降低忙中出錯(cuò)的幾率。6、加強(qiáng)對(duì)訂