iso27001-2013管理評審報告

XXXXX有限公司ISO27001-2013管理評審報告評審日期：2017年1月15日評審目的：驗證體系運行的有效性，尋找改進(jìn)點。分析2016-2017年度外審前信息安全工作完成情況，評價管理體系的適宜性、充分性、有效性，明確本年度工作目標(biāo)，提出改進(jìn)措施、建議，確保信息安全方針、目標(biāo)的實現(xiàn)和滿足法律法規(guī)和客戶的需求。一、評審內(nèi)容：① 安全方針和目標(biāo)是否正在實現(xiàn)，過去3個月中所取得的業(yè)績是否達(dá)到、完成或超過安全方針和目標(biāo)的要求；② 管理人員和監(jiān)督人員過去3個月中管理與監(jiān)督的狀況，法律法規(guī)的滿足程度、以及是否達(dá)到預(yù)期要求；③ 管理體系運行是否受控、是否有效（近期內(nèi)審結(jié)果），體系文件的事宜性；④ 糾正措施和預(yù)防措施執(zhí)行情況如何；⑤ 聽取資源充分性報告；⑥ 風(fēng)險評估報告、可接受風(fēng)險等級、報告中提出的薄弱點或威脅；⑦ 客戶反饋意見的匯總分析；⑧ 員工培訓(xùn)教育情況分析報告；⑨ 客戶投訴及其處理情況匯總；⑩ 改進(jìn)的建議；? 其他日常管理議題。二、評審組成員：總經(jīng)理、管代、各部門經(jīng)理、內(nèi)審員。三、評審意見和結(jié)論：1、本公司按照ISO27001：2013的要求建立的管理體系，全面覆蓋了的業(yè)務(wù)活動。從運行以來，管理體系得到了不斷地改進(jìn)與完善，總體運行情況良好。2、ISMS-1001《信息安全管理手冊》規(guī)定的本公司的安全方針、目標(biāo)，符合準(zhǔn)則要求和本公司實際情況，通過努力正在逐步實現(xiàn)。3、ISMS-1001《信息安全管理手冊》中所列的控制項是真實的。與之相關(guān)聯(lián)的機(jī)構(gòu)和崗位設(shè)置是合理的，機(jī)構(gòu)及崗位的職責(zé)分工明確，切實可行；與之相關(guān)聯(lián)的人力資源和設(shè)備資源配置是充分的、合理的；與之相關(guān)聯(lián)的物理環(huán)境條件是符合要求的；各個要素、各個程序和各個環(huán)節(jié)之間的銜接循環(huán)是封閉的。4、管理體系運行以來，管理及監(jiān)督人員開展了有效的工作，監(jiān)督管理工作有明顯成效。共進(jìn)行了1次內(nèi)審，內(nèi)審覆蓋了本公司與軟件研發(fā)與技術(shù)服務(wù)的所有管理活動和技術(shù)活動，內(nèi)審共發(fā)現(xiàn)2個不符合項，這些問題均已得到了糾正；糾正措施執(zhí)行情況良好。硬件、采用附錄A中的11類控制方式，130個控制點得到了滿意的結(jié)果，存在少量的一些問題（詳見內(nèi)審報告），也已提交了整改報告。硬件、我司開展的風(fēng)險評估活動，識別了公司各類信息資產(chǎn)，并進(jìn)行風(fēng)險評價。本公司規(guī)定風(fēng)險評估結(jié)果中風(fēng)險等級≥4定義為不可接受風(fēng)險，需要對信息資產(chǎn)采取一定控制措施進(jìn)行處置，本次風(fēng)險評估識別出高風(fēng)險，并就高風(fēng)險資產(chǎn)識別對應(yīng)的脆弱性和威脅值。具體對其處置見ISMS-402硬件《信息安全不可接受風(fēng)險處理計劃》。公司組織召開信息安全管理委員會，大會決議接受風(fēng)險處置后的殘余風(fēng)險。硬件、客戶反饋的意見，如對信息安全的信心保證；體系運行至今未接到客戶投訴，但通過認(rèn)證是增加信心的有效手段，顧客意見將得到滿足。硬件、內(nèi)部控制活動正常，但信息溝通還需進(jìn)一步通暢，員工自覺學(xué)習(xí)的氛圍還沒有形成，培訓(xùn)的方式要不斷改進(jìn)。9、現(xiàn)場記錄填寫的質(zhì)量存在問題較多，需進(jìn)一步加強(qiáng)；內(nèi)審員的監(jiān)督作用需要加強(qiáng)并充分發(fā)揮。10、員工信息安全意識需要加強(qiáng)、培訓(xùn)的力度要加大?？深A(yù)見的，我公司近年工作類型不會發(fā)生重大變化，工作量將會進(jìn)一步增加。計算機(jī)系統(tǒng)的點檢監(jiān)督監(jiān)測頻次可以根據(jù)病毒的爆發(fā)情況及相關(guān)法律法規(guī)、戰(zhàn)略目標(biāo)的調(diào)整再次增加；為了進(jìn)一步加強(qiáng)為客戶的服務(wù)，提高自己的競爭能力，對控制措施的考評方法可進(jìn)一步完善。11、公司各方面日常管理需要進(jìn)一步規(guī)范，保證信息安全管理體系有效穩(wěn)定運行。綜上所述，本公司的信息安全管理體系文件是一套文件化的完整的受控的體系文件；并建立了相應(yīng)的組織機(jī)構(gòu)、設(shè)置了相應(yīng)的崗位、配備了相應(yīng)的人員，其機(jī)構(gòu)、崗位和人員的職責(zé)明確，配置了相應(yīng)的檢測設(shè)備、軟件、采用符合要求的標(biāo)準(zhǔn)、方法標(biāo)準(zhǔn)、測試軟件、程序和有效服務(wù)。由此建立的一個為達(dá)到信息安全方針和目標(biāo)而相互關(guān)聯(lián)的要素進(jìn)行了系統(tǒng)優(yōu)化整合的管理體系，本公司應(yīng)用軟件開發(fā)的活動是適宜的、充分的和有效的。四、會議決定：1、現(xiàn)行實施的管理體系文件是本公司信息安全管理體系運行的唯一的指導(dǎo)性文件。2、本公司各部門和全體人員、外包方都必須按照體系文件的規(guī)定，指導(dǎo)、約束自己的行為，履行自己的崗位職責(zé)；應(yīng)注意利用日常點檢，不斷確定持續(xù)改進(jìn)的措施，實現(xiàn)本公司的信息安全方針和目標(biāo)。3、本公司總經(jīng)理應(yīng)帶領(lǐng)全體人員積極營造創(chuàng)建學(xué)習(xí)型企業(yè)的氛圍和文化，保證管理體系的有效運行。4、由總經(jīng)理及時完成本次管理評審報告；綜合管理部負(fù)責(zé)整理本次管理評審記錄并歸檔，同時傳遞給其他部門，輸入下一年度計劃。硬件、管理評審報告分發(fā)范圍：各部門負(fù)責(zé)人和內(nèi)審員。五、對今后工作的改進(jìn)要求：1、應(yīng)不斷提高全員的信息安全意識，保證管理體系的有效運行和持續(xù)改進(jìn)，提高體系文件的運行效率，通過體系外審視最近的目的。2、加強(qiáng)對體系文件的宣貫和學(xué)習(xí)，講究方式，提高效率；加強(qiáng)對軟件及應(yīng)用專業(yè)知識和相關(guān)法律法規(guī)的學(xué)習(xí)，確保他們具有與其所承擔(dān)任務(wù)相適應(yīng)的工作能力。3、進(jìn)一步完善應(yīng)急預(yù)案編制，加強(qiáng)對威脅的認(rèn)識，并據(jù)此完善調(diào)查制度，逐步建設(shè)一套完善的應(yīng)急監(jiān)測、響應(yīng)系統(tǒng)。4、進(jìn)一步加強(qiáng)數(shù)據(jù)儲存管理，不斷提高管理的應(yīng)用的水平，盡快完善同步備份制度或者盡量減少儲存的備份時差。硬件、進(jìn)一步了解管理部門、社會各界需求及市場的需求，細(xì)分這些需求，逐步滿足這些需求，增強(qiáng)本公司競爭力。硬件、日常監(jiān)測工作的安排要提前，加強(qiáng)計劃性，細(xì)化月計劃、周計劃，使各項工作開始之前有足夠的時間準(zhǔn)備，降低因忙中出錯對信息安全的威脅。硬件、責(zé)成綜合管理部，盡快完成支持業(yè)務(wù)可持續(xù)性設(shè)備的科學(xué)演練。硬件、加強(qiáng)對糾正預(yù)防措施處理意見的學(xué)習(xí)，上半年派相關(guān)人員前往咨詢機(jī)構(gòu)做進(jìn)一步的學(xué)習(xí)交流，提高本公司糾正預(yù)防能力。暢通顧客意見的渠道，加強(qiáng)收集顧客