管理評(píng)審報(bào)告-2020年ISO27001-信息安全管理體系

信息安全管理體系管理評(píng)審報(bào)告編制：審核：批準(zhǔn)：管理評(píng)審計(jì)劃編號(hào)：計(jì)劃評(píng)審日期2020.07.09評(píng)審地點(diǎn)四樓會(huì)議室評(píng)審目的：對(duì)公司信息安全管理方針和目標(biāo)的實(shí)現(xiàn)情況以及信息安全管理體系的運(yùn)行狀況進(jìn)行評(píng)審，確定信息安全管理體系是否持續(xù)適宜、充分且有效的滿足《ISO/IEC27001:2013信息安全管理體系要求》以及公司內(nèi)部信息安全管理體系的要求，評(píng)審組織：主持：總經(jīng)理出席人員：管理者代表、各部門(mén)負(fù)責(zé)人評(píng)審內(nèi)容：a）以往管理評(píng)審要求采取措施的狀態(tài)；b）與信息安全管理體系相關(guān)的內(nèi)部和外部問(wèn)題的變化；c）信息安全績(jī)效有關(guān)的反饋，包括下列趨勢(shì)性信息：1）不符合和糾正措施；2）審核結(jié)果；3）信息安全目標(biāo)完成情況；d）相關(guān)方的反饋；e）風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f）持續(xù)改進(jìn)的機(jī)會(huì)。評(píng)審準(zhǔn)備工作要求：預(yù)定評(píng)審前7天，總經(jīng)辦負(fù)責(zé)根據(jù)評(píng)審內(nèi)容要求，組織評(píng)審資料的收集。要求公司各部門(mén)準(zhǔn)備參加評(píng)審會(huì)議的討論提綱等必要的文件，評(píng)審資料由管理者代表確認(rèn)。編制：批準(zhǔn)：日期：信息安全管理評(píng)審報(bào)告評(píng)審目的對(duì)公司信息安全管理方針和目標(biāo)的實(shí)現(xiàn)情況以及信息安全管理體系的運(yùn)行狀況進(jìn)行評(píng)審，確定信息安全管理體系是否持續(xù)適宜、充分且有效的滿足《ISO/IEC27001:2013信息安全管理體系要求》以及公司內(nèi)部信息安全管理體系的要求，評(píng)審范圍與職業(yè)健康安全管理相關(guān)的所有過(guò)程（活動(dòng)）評(píng)審依據(jù)ISO/IEC27001:2013信息安全管理體系要求；2、管理手冊(cè)、程序文件、作業(yè)指導(dǎo)書(shū)及相關(guān)管理制度；3、與信息安全管理相關(guān)的法律法規(guī)要求；4、顧客要求以及其他相關(guān)方的要求。評(píng)審時(shí)間2020年07月09日地點(diǎn)四樓會(huì)議室參加人員信息安全管理體系相關(guān)的負(fù)責(zé)人及各部門(mén)責(zé)任人管理評(píng)審報(bào)告管理評(píng)審報(bào)告管理評(píng)審報(bào)告管理評(píng)審報(bào)告管理評(píng)審報(bào)告管理評(píng)審輸入：a）以往管理評(píng)審要求采取措施的狀態(tài)；b）與信息安全管理體系相關(guān)的內(nèi)部和外部問(wèn)題的變化；c）信息安全績(jī)效有關(guān)的反饋，包括下列趨勢(shì)性信息：1）不符合和糾正措施；2）審核結(jié)果；3）信息安全目標(biāo)完成情況；d）相關(guān)方的反饋；e）風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)；f）持續(xù)改進(jìn)的機(jī)會(huì)。1.0以往管理評(píng)審要求采取措施的狀態(tài)在2019年進(jìn)行的管理評(píng)審中，共提出四個(gè)改進(jìn)項(xiàng)目，均得到有效實(shí)施和完成，經(jīng)跟蹤驗(yàn)證確認(rèn)符合管理評(píng)審時(shí)提出的改進(jìn)要求。管理評(píng)審改進(jìn)項(xiàng)目100%關(guān)閉。具體完成情況參見(jiàn)《2019年管理評(píng)審糾正和預(yù)防措施實(shí)施記錄表》。2.0與信息安全管理體系相關(guān)的內(nèi)部和外部問(wèn)題的變化公司在信息安全管理體系策劃和實(shí)施過(guò)程中，由行政部定期組織相關(guān)部門(mén)針對(duì)當(dāng)前可能影響公司信息安全管理體系相關(guān)的的內(nèi)外部問(wèn)題，包括：國(guó)內(nèi)有關(guān)政策、相關(guān)的法律法規(guī)，國(guó)內(nèi)總體經(jīng)濟(jì)形勢(shì)、關(guān)聯(lián)行業(yè)發(fā)展形勢(shì)，現(xiàn)有工藝技術(shù)，內(nèi)部人財(cái)物技術(shù)資金等，運(yùn)用SWOT分析法進(jìn)行了分析，確定了我們的優(yōu)勢(shì)和短板，找出來(lái)可能的機(jī)遇，面臨的風(fēng)險(xiǎn)。將有關(guān)風(fēng)險(xiǎn)特別是信息安全風(fēng)險(xiǎn)納入管理體系中。體系運(yùn)行以來(lái)，風(fēng)險(xiǎn)基本可控。公司通過(guò)管理體系認(rèn)證后將更好的保護(hù)公司以及相關(guān)方的信息安全，公司效益也將因此進(jìn)一步提升。具體分析結(jié)果《內(nèi)外部問(wèn)題分析報(bào)告》。3.0內(nèi)部審核結(jié)果3.1自信息安全管理體系運(yùn)行以來(lái)，管理及監(jiān)督人員開(kāi)展了有效的工作，監(jiān)督管理工作有明顯成效。3.2在2020年月實(shí)施了本年度內(nèi)審，內(nèi)審覆蓋了本公司與軟件研發(fā)與技術(shù)服務(wù)的所有管理活動(dòng)和技術(shù)活動(dòng)，內(nèi)審共發(fā)現(xiàn)2個(gè)不符合項(xiàng)，這些問(wèn)題均已得到了糾正；糾正措施執(zhí)行情況良好。3.3采用附錄A中的11類(lèi)控制方式，130個(gè)控制點(diǎn)得到了滿意的結(jié)果，存在少量的一些問(wèn)題（詳見(jiàn)內(nèi)審報(bào)告），也已提交了整改報(bào)告。3.4現(xiàn)場(chǎng)記錄填寫(xiě)的質(zhì)量存在問(wèn)題較多，需進(jìn)一步加強(qiáng)；內(nèi)審員的監(jiān)督作用需要加強(qiáng)并充分發(fā)揮。3.5員工信息安全意識(shí)需要加強(qiáng)、培訓(xùn)的力度要加大?？深A(yù)見(jiàn)的，我公司近年工作類(lèi)型不會(huì)發(fā)生重大變化，工作量將會(huì)進(jìn)一步增加。計(jì)算機(jī)系統(tǒng)的點(diǎn)檢監(jiān)督監(jiān)測(cè)頻次可以根據(jù)病毒的爆發(fā)情況及相關(guān)法律法規(guī)、戰(zhàn)略目標(biāo)的調(diào)整再次增加；為了進(jìn)一步加強(qiáng)為客戶的服務(wù)，提高自己的競(jìng)爭(zhēng)能力，對(duì)控制措施的考評(píng)方法可進(jìn)一步完善。3.6本公司的信息安全管理體系文件是一套文件化的完整的受控的體系文件；并建立了相應(yīng)的組織機(jī)構(gòu)、設(shè)置了相應(yīng)的崗位、配備了相應(yīng)的人員，其機(jī)構(gòu)、崗位和人員的職責(zé)明確，配置了相應(yīng)的檢測(cè)設(shè)備、軟件、采用符合要求的標(biāo)準(zhǔn)、方法標(biāo)準(zhǔn)、測(cè)試軟件、程序和有效服務(wù)。由此建立的一個(gè)為達(dá)到信息安全方針和目標(biāo)而相互關(guān)聯(lián)的要素進(jìn)行了系統(tǒng)優(yōu)化整合的管理體系，本公司應(yīng)用軟件開(kāi)發(fā)的活動(dòng)是適宜的、充分的和有效的。4.0不符合和糾正措施4.1針對(duì)本次內(nèi)審發(fā)現(xiàn)的問(wèn)題，制定了詳細(xì)的糾正和預(yù)防措施，經(jīng)過(guò)驗(yàn)證，現(xiàn)在均已得到關(guān)閉。4.2我部門(mén)在對(duì)體系日常運(yùn)行中的預(yù)防和糾正措施的狀況進(jìn)行嚴(yán)格跟蹤，指定責(zé)任人和落實(shí)日期，驗(yàn)證結(jié)果整體良好。如下為公司采取的部分整改措施：4.3已經(jīng)全部安裝殺毒軟件、病毒庫(kù)為最新；4.4所有員工系統(tǒng)補(bǔ)丁打到最新版本；4.5所有員工設(shè)置了屏保，屏保設(shè)置不超過(guò)硬件分鐘；并設(shè)置了密碼恢復(fù)；4.6所有員工內(nèi)部系統(tǒng)登錄口令符合安全要求；4.7已執(zhí)行相關(guān)的介質(zhì)管理規(guī)定，非授權(quán)禁止帶出設(shè)備，重要數(shù)據(jù)加密；4.8制定訪客制度，進(jìn)行登記；4.9對(duì)公司重要服務(wù)器進(jìn)行每周備份異地備份；4.10已經(jīng)對(duì)財(cái)務(wù)報(bào)賬計(jì)算機(jī)進(jìn)行了物理隔開(kāi)。5.0信息安全方針實(shí)施及目標(biāo)完成情況5.1公司自實(shí)施信息安全管理體系以來(lái)，總經(jīng)理根據(jù)公司實(shí)際情況并結(jié)合企業(yè)長(zhǎng)期發(fā)展目標(biāo)制定并批準(zhǔn)了信息安全管理方針，方針如下：實(shí)施風(fēng)險(xiǎn)管理，確保信息安全，保障業(yè)務(wù)可持續(xù)發(fā)展。信息安全方針含義:a.根據(jù)本公司業(yè)務(wù)信息安全的特點(diǎn)、法律法規(guī)要求，建立風(fēng)險(xiǎn)評(píng)估程序，確定風(fēng)險(xiǎn)接受準(zhǔn)則。定期進(jìn)行風(fēng)險(xiǎn)評(píng)估，以識(shí)別本公司風(fēng)險(xiǎn)的變化。本公司或環(huán)境發(fā)生重大變化時(shí)，隨時(shí)評(píng)估。應(yīng)根據(jù)風(fēng)險(xiǎn)評(píng)估的結(jié)果，采取相應(yīng)措施，降低風(fēng)險(xiǎn)。b.在日常企業(yè)生產(chǎn)和管理中，對(duì)信息安全予以重視，全面識(shí)別和分析全部信息資產(chǎn)，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點(diǎn)、可能存在的威脅，考慮成本、利益、風(fēng)險(xiǎn)的綜合平衡，對(duì)資產(chǎn)進(jìn)行分類(lèi)保護(hù)，以適宜的成本達(dá)到系統(tǒng)保護(hù)的要求。c.建立健全信息安全監(jiān)督和保證體系，明確各級(jí)、各崗位的信息安全責(zé)任，以人為本，堅(jiān)持全員、全方位、全過(guò)程信息安全管理。通過(guò)測(cè)量和監(jiān)控，持續(xù)改進(jìn)，保證信息安全管理體系的有效運(yùn)行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產(chǎn)、經(jīng)營(yíng)、管理和服務(wù)的持續(xù)和安全，實(shí)現(xiàn)企業(yè)發(fā)展目標(biāo)。5.2根據(jù)信息安全管理方針，公司制定了如下信息安全管理目標(biāo)：1)安全事件發(fā)生次數(shù)：重大安全事件目標(biāo)值：0次/年；較大安全事件目標(biāo)值：不大于4次/年；一般安全事件目標(biāo)值：不大于8次/年。2)信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、光盤(pán)等）不被泄密，確保秘密、機(jī)密信息不泄漏給非授權(quán)人員。信息泄密次數(shù)目標(biāo)值：0次/年。具體目標(biāo)各部門(mén)分解如下：部門(mén)部門(mén)信息安全目標(biāo)統(tǒng)計(jì)方式監(jiān)測(cè)頻率綜合部1、人員招聘手續(xù)辦理完成率100%；2、人員教育或培訓(xùn)實(shí)施率100%；3、人員離職手續(xù)辦理完成率100%；4、辦公環(huán)境消防設(shè)施配置率100%；5、辦公環(huán)境消防設(shè)施點(diǎn)檢率100%；6、每年至少組織實(shí)施完成1次信息安全內(nèi)審，且資料齊全；7、每年至少組織實(shí)施完成1次信息安全管理評(píng)審，且資料齊全；8、每年至少進(jìn)行1次信息安全體系文件評(píng)審及更新；9、每年至少組織實(shí)施完成1次風(fēng)險(xiǎn)評(píng)估。1、查看全部員工入職手續(xù)辦理情況；2、查看培訓(xùn)計(jì)劃及培訓(xùn)實(shí)施情況；3、查看實(shí)際人員離職及手續(xù)辦理情況；4、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材配備情況；5、現(xiàn)場(chǎng)檢查辦公環(huán)境消防器材的檢修情況；7、按照信息安全內(nèi)審計(jì)劃執(zhí)行內(nèi)審及改進(jìn)，及時(shí)整理信息安全內(nèi)審資料；8、按照信息安全管理評(píng)審計(jì)劃執(zhí)行評(píng)審及改進(jìn)，及時(shí)整理信息安全管理評(píng)審資料；9、每年集中對(duì)信息安全管理體系文件進(jìn)行評(píng)審，必要時(shí)進(jìn)行更新；10、每年組織各相關(guān)部門(mén)進(jìn)行風(fēng)險(xiǎn)評(píng)估回顧、對(duì)新增或發(fā)生變化的信息資產(chǎn)進(jìn)行風(fēng)險(xiǎn)評(píng)估。每年研發(fā)部1、網(wǎng)絡(luò)非正常中斷每月≤1次。2、主機(jī)系統(tǒng)非正常中斷每月≤1次。1、以每月的網(wǎng)絡(luò)中斷事件為依據(jù)2、以每月的主機(jī)系統(tǒng)中斷事件為依據(jù)每半年其他部門(mén)重要文檔及數(shù)據(jù)被正確保管及使用，機(jī)密信息泄露次數(shù)為0次每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機(jī)密信息泄露相關(guān)事件。每年通過(guò)分析監(jiān)視和測(cè)量結(jié)果，公司制定的信息安全方針和目標(biāo)是有效的，具體監(jiān)視和測(cè)量結(jié)果見(jiàn)《信息安全目標(biāo)統(tǒng)計(jì)表》。6.0風(fēng)險(xiǎn)評(píng)估結(jié)果及風(fēng)險(xiǎn)處置計(jì)劃的狀態(tài)我司開(kāi)展的風(fēng)險(xiǎn)評(píng)估活動(dòng)，識(shí)別了公司各類(lèi)信息資產(chǎn)，并進(jìn)行風(fēng)險(xiǎn)評(píng)價(jià)。本公司規(guī)定風(fēng)險(xiǎn)評(píng)估結(jié)果中風(fēng)險(xiǎn)等級(jí)≥4定義為不可接受風(fēng)險(xiǎn)，需要對(duì)信息資產(chǎn)采取一定控制措施進(jìn)行處置，本次風(fēng)險(xiǎn)評(píng)估識(shí)別出高風(fēng)險(xiǎn)，并就高風(fēng)險(xiǎn)資產(chǎn)識(shí)別對(duì)應(yīng)的脆弱性和威脅值。具體對(duì)其處置見(jiàn)《信息安全不可接受風(fēng)險(xiǎn)處理計(jì)劃》。公司組織召開(kāi)信息安全管理委員會(huì)，大會(huì)決議接受風(fēng)險(xiǎn)處置后的殘余風(fēng)險(xiǎn)。7.0相關(guān)方的反饋7.1目前已建立暢通顧客意見(jiàn)的渠道，加強(qiáng)收集顧客意見(jiàn)，增強(qiáng)重點(diǎn)項(xiàng)目、重點(diǎn)客戶的意見(jiàn)反饋。7.2滿足相關(guān)利益方的要求。信息安全內(nèi)外部組織協(xié)調(diào)順利，不存在溝通障礙。建立了內(nèi)外部專家名單和內(nèi)外部相關(guān)組織聯(lián)系單。7.3安全職責(zé)分配到位，且建立了相應(yīng)的授權(quán)機(jī)制。目前尚不需要更新，待體系運(yùn)行一個(gè)階段之后再做調(diào)整。7.4內(nèi)外部員工的保密協(xié)議已經(jīng)簽署完畢，第三方的保密合同正在落實(shí)完善過(guò)程中。7.5本部門(mén)員工對(duì)ISMS的認(rèn)可程度較高，態(tài)度很好。通過(guò)信息安全管理體系的建設(shè)和實(shí)施，員工對(duì)公司的安全管理信心上升。8.0持續(xù)改進(jìn)的機(jī)會(huì)通過(guò)本次評(píng)審，公司需在如下方面繼續(xù)進(jìn)行持續(xù)改進(jìn)：1、加強(qiáng)公司上下對(duì)控制措施有效性的執(zhí)行力度的要求。2、需要組織更多的安排信息安全相關(guān)的培訓(xùn)。3、需要不斷提高員工的信息安全意識(shí)。4、對(duì)關(guān)鍵崗位應(yīng)進(jìn)行人才儲(chǔ)備，防止因突然離職、請(qǐng)假等突發(fā)事件導(dǎo)致的業(yè)務(wù)中斷。以上四點(diǎn)改進(jìn)建議，將作為下一次管理評(píng)審的輸入。管理評(píng)審結(jié)論1、本單位經(jīng)過(guò)幾年的ISMS體系建設(shè)的積累，人員安全意識(shí)大幅提高，本單位的信息安全體系符合度有大幅提升，基本能夠滿足ISO27001：2013標(biāo)準(zhǔn)要求，管理層認(rèn)為本單位的信息安全工作做得還是比較到位，管理層對(duì)ISMS體系建設(shè)和體系運(yùn)行效果比較滿意，認(rèn)為本單位的信息安全體系基本能夠滿足ISO27001:2013的要求，希望能夠順利通過(guò)外審公司的認(rèn)證審核。2、與會(huì)人員認(rèn)為本單位ISMS的信息安全方針是充分的、適宜的、有效的，本單位的信息安全管理體系（ISMS）在有效運(yùn)行、信息安全委員會(huì)在信息安全方面的工作是務(wù)實(shí)而富有成效的，開(kāi)發(fā)部員工和其它部門(mén)人員對(duì)本單位的信息安全管理體系（ISMS）比較滿意，至今未發(fā)生針對(duì)本單位信息安全的投訴事件、未發(fā)生影響本單位ISMS的重大變更。3、本單位的信息安全管理體系（ISMS）在運(yùn)行中，針對(duì)風(fēng)險(xiǎn)評(píng)估中的超過(guò)本單位可接受標(biāo)準(zhǔn)的風(fēng)險(xiǎn)，本單位已經(jīng)和正在采取措施進(jìn)行解決，以降低或減少其風(fēng)險(xiǎn)，本單位目前制訂的風(fēng)險(xiǎn)可接受標(biāo)準(zhǔn)是合適的，由信息安全管理委員會(huì)負(fù)責(zé)對(duì)本單位的信息安全管理體系控制措施有效性進(jìn)行了測(cè)量，測(cè)量結(jié)果顯示，本單位的信息安全管理體系是有效的。改進(jìn)的建議1、應(yīng)不斷提高全員的信息安全意識(shí)，保證管理體系的有效運(yùn)行和持續(xù)改進(jìn)，提高體系文件的運(yùn)行效率，通過(guò)體系外審視最近的目的。2、加強(qiáng)對(duì)體系文件的宣貫和學(xué)習(xí)，講究方式，提高效率；加強(qiáng)對(duì)軟件及應(yīng)用專業(yè)知識(shí)和相關(guān)法律法規(guī)的學(xué)習(xí)，確保他們具有與其所承擔(dān)任務(wù)相適應(yīng)的工作能力。3、進(jìn)一步完善應(yīng)急預(yù)案編制，加強(qiáng)對(duì)威脅的認(rèn)識(shí)，并據(jù)此完善調(diào)查制度，逐步建設(shè)一套完善的應(yīng)急監(jiān)測(cè)、響應(yīng)系統(tǒng)。4、進(jìn)一步加強(qiáng)數(shù)據(jù)儲(chǔ)存管理，不斷提高管理的應(yīng)用的水平，盡快完善同步備份制度或者盡量減少儲(chǔ)存的備份時(shí)差。5、進(jìn)一步了解管理部門(mén)、社會(huì)各界需求及市場(chǎng)的需求，細(xì)分這些需求，逐步滿足這些需求，增強(qiáng)本公司競(jìng)爭(zhēng)力。6、日常監(jiān)測(cè)工作的安排要提前，加強(qiáng)計(jì)劃性，細(xì)化月計(jì)劃、周計(jì)劃，使各項(xiàng)工作開(kāi)始之前有足夠的時(shí)間準(zhǔn)備，降低因忙中出錯(cuò)對(duì)信息安全的威脅。7、責(zé)成綜合管理部，盡快完成支持業(yè)務(wù)可持續(xù)性設(shè)備的科學(xué)演練。8、加強(qiáng)對(duì)糾正預(yù)防措施處理意見(jiàn)的學(xué)習(xí)，上半年派相關(guān)人員前往咨詢機(jī)構(gòu)做進(jìn)一步的學(xué)習(xí)交流，提高本公司糾正預(yù)防能力。暢通顧客意見(jiàn)的渠道，加強(qiáng)收集顧客意見(jiàn)，增強(qiáng)重點(diǎn)項(xiàng)目、重點(diǎn)客戶的關(guān)注程度。9、進(jìn)一步加強(qiáng)與現(xiàn)有管理體系的融合。管理評(píng)審報(bào)告發(fā)放各部門(mén)會(huì)議記錄編號(hào)：會(huì)議名稱管理評(píng)審會(huì)議地點(diǎn)會(huì)議室主持人記錄時(shí)間14：00－18：00會(huì)議議程安排及內(nèi)容：（可加附頁(yè)）評(píng)審內(nèi)容：a）以往管理評(píng)審要求采取措