ISO27001：2013管理评审报告.pdfVIP

XXXXX 有限公司 ISO27001-2013 管理评审报告 评审日期： 2017 年 1 月 15 日 评审目的：验证体系运行的有效性，寻找改进点。 分析 2016-2017 年度外审前信息安全工作完成情况，评价管理体系的适宜性、 充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全 方针、目标的实现和满足法律法规和客户的需求。 一、评审内容： ① 安全方针和目标是否正在实现， 过去 3 个月中所取得的业绩是否达到、 完成 或超过安全方针和目标的要求； ② 管理人员和监督人员过去 3 个月中管理与监督的状况，法律法规的满足程 度、以及是否达到预期要求； ③ 管理体系运行是否受控、是否有效（近期内审结果） ，体系文件的事宜性； ④ 纠正措施和预防措施执行情况如何； ⑤ 听取资源充分性报告； ⑥ 风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁； ⑦ 客户反馈意见的汇总分析； ⑧ 员工培训教育情况分析报告； ⑨ 客户投诉及其处理情况汇总； ⑩ 改进的建议； XXXXX 有限公司 ? 其他日常管理议题。 二、评审组成员： 总经理、管代、各部门经理、内审员。 三、评审意见和结论： 1、本公司按照 ISO27001：2013 的要求建立的管理体系，全面覆盖了的业务活 动。从运行以来，管理体系得到了不断地改进与完善，总体运行情况良好。 2 、ISMS-1001 《信息安全管理手册》规定的本公司的安全方针、目标，符合准 则要求和本公司实际情况，通过努力正在逐步实现。 3、ISMS-1001 《信息安全管理手册》中所列的控制项是真实的。与之相关联的 机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关 联的人力资源和设备资源配置是充分的、合理的；与之相关联的物理环境条件 是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。 4 、管理体系运行以来， 管理及监督人员开展了有效的工作， 监督管理工作有明 显成效。 共进行了 1 次内审，内审覆盖了本公司与软件研发与技术服务的所有管理活动 和技术活动，内审共发现 2 个不符合项，这些问题均已得到了纠正；纠正措施 执行情况良好。 硬件、采用附录 A 中的 11 类控制方式， 130 个控制点得到了满意的结果，存在 少量的一些问题（详见内审报告） ，也已提交了整改报告。 XXXXX 有限公司 硬件、 我司开展的风险评估活动， 识别了公司各类信息资产， 并进行风险评价。 本公司规定风险评估结果中风险等级≥ 4 定义为不可接受风险，需要对信息资 产采取一定控制措施进行处置，本次风险评估识别出高风险，并就高风险资产 识别对应的脆弱性和威胁值。具体对其处置见 ISMS-402 硬件《信息安全不可 接受风险处理计划》 。公司组织召开信息安全管理委员会， 大会决议接受风险处 置后的残余风险。 硬件、客户反馈的意见，如对信息安全的信心保证；体系运行至今未接到客户 投诉，但通过认证是增加信心的有效手段，顾客意见将得到满足。 硬件、内部控制活动正常，但信息沟通还需进一步通畅，员工自觉学习的氛围 还没有形成，培训的方式要不断改进。 9、现场记录填写的质量存在问题较多， 需进一步加强； 内审员的监督作用需要 加强并充分发挥。 10、员工信息安全意识需要加强、培训的力度要加大。可预见的，我公司近年 工作类型不会发生重大变化，工作量将会进一步增加。计算机系统的点检监督 监测频次可以根据病毒的爆发情况及相关法律法规、 战略目标的调整再次增加； 为了进一步加强为客户的服务，提高自己的竞争能力，对控制措施的考评方法 可进一步完善。 11、公司各方面日常管理需要进一步规范，保证信息安全管理体系有效稳定运 行。 综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系 文件；并建立了相应的组