信息安全管理体系管理评审报告.docVIP

信息安全管理体系管理评审报告 评审日期：2020 年1 月 24日 评审目的：分析 2019年度ISMS体系建立，及ISO27001外审前工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。 评审内容： 1、安全方针和目标是否正在实现，过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求； 2、管理人员和监督人员过去3个月中管理与监督的状况，是否达到预期要求； 3、管理体系运行是否受控、是否有效（近期内审结果）； 4、纠正措施和预防措施执行情况如何； 5、听取资源充分性报告； 6、风险评估中提出的薄弱点或威胁； 7、客户反馈意见的汇总分析； 8、员工培训教育情况分析报告； 9、客户投诉及其处理情况汇总； 10、改进的建议； 11、其他日常管理议题。 评审组成员： 评审意见和结论： 1、本公司按照ISO27001:2005的要求建立的信息安全管理体系全面覆盖了我公司的各项经营管理活动。自运行以来，信息安全管理体系得到了持续不断的改进与完善，总体运行情况良好，在过去三个月没有发生信息安全事件。 见证资料：《AQ2G-05-S003 信息安全目标V1.0》，《2019年信息安全目标统计表》。 2、《信息安全管理手册》规定的本公司的信息安全方针、目标，符合ISO27001:2005准则要求和本公司实际情况，在公司全体员工的努力下正在逐步实现。 3、《信息安全管理手册》中所列的控制项（133 项参数或指标）是真实的。与之相关联的机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行。与之相关联的人力资源和设备资源配置是充分的、合理的。与之相关联的物理环境条件是符合要求的。各个要素、各个程序和各个环节之间的衔接循环是封闭的。 4、信息安全管理体系运行以来，信息安全工作小组及各部门信息安全员开展了有效的工作，信息安全措施的落实情况有明显成效。 进行了 1 次内审，覆盖了本公司所有管理活动和技术活动，内审共发现 7 个不符合项。对不符合项进行了原因分析，提出了具体处置办法。这些问题均已得到有效纠正，纠正措施执行情况良好。 见证资料：《内审计划及不符合项报 5、采用附录A中的 11 类控制方式，其中删减了 8 处，其余 125 个控制点得到了满意的结果，对存在的个别问题及时进行了整改。 见证资料：《信息安全内部审核检查表》 6、对公司信息资产进行了调查和确认：经过对公司资产的信息收集和梳理，共确认信息资产994项，其中IT类信息资产604项，财务类16项，行政类350项，人力资源类12项，研发类12项。经过对信息资产的风险评分，最终确认有8个信息资产的风险值达到12分，属于重大风险信息资产。经IT部门分析，给出了对应的处置措施。 见证资料：《信息资产识别及评价，《ISMS重大风险清单与处置计划》，《信息资产风险评估评审报。 7、我公司2020年度的产品研发任务和经营管理任务将会进一步增加。信息安全体系的检查、监督、监测可以适当增加频次。为进一步满足客户需求，提高产品竞争力，计划委托第三方机构对产品软硬件的性能和安全性做更加专业的检测和评估。 8、客户反馈的意见是我公司持续改进产品性能和服务的重要信息来源。2019年，我公司呼叫中心客服人员为用户提供了大量的语音导航、应急救援等服务，帮助用户找回被盗车辆2部，2019年第四季度未接到用户重大投诉。对用户数据采取了必要的安全保护和数据备份。 9、经过多次培训，以及新员工入职培训，公司各部门、各位员工都基本上能自觉遵守公司信息安全管理要求，理解并主动配合信息安全体系的实施。信息安全管理体系在公司内部的控制活动开展较为顺利、正常。但是，部门之间的协调以及信息沟通还需进一步通畅，培训的方式还要不断改进，培养员工良好的信息安全意识。 10、现场记录的填写存在问题较多，比如：没有按时记录，记录不够详细，格式不够规范，必须进一步加强现场记录的监督检查。内审员的监督作用需要加强并充分发挥。 11、2020年元月，BSI对我公司ISO27001进行了第一阶段审核，并提出一些合理化的建议。我们对此进行了认证分析，提出整改措施，并已全部落实。 见证资料：《ISO27001第一阶段审核整改报告》 综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件，并建立了相应的组织机构，设置了相应的岗位，配备了相应的人员。其机构、岗位和人员的职责明确，配置了相应的检测设备和软件，采用符合要求的标准、方法、测试软件、程序和有效服务。通过对关联要素的优化整合，建立了公司信息安全管理体系，努力实现公司信息安全的方针和目标。 会议作出以下决议： 1