ISO27001信息安全管理评审整套记录汇编.docx

ISO27001信息安全管理体系 管理评审整套资料汇编 文件清单 管理评审计划 管理评审报告 管理评审会议记录 管理评审纠正预防措施计划表 技术部管理评审材料 销售部管理评审材料 综合管理部管理评审材料 管理评审计划 ISMS-0107-JL01 编号：202103 为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》的要求，公司在2021年3月30日进行管理评审。本次会议由总经理负责主持，管理者代表、公司各部门负责人参加。 本次管理评审的内容包括： 信息安全管理体系审核和评审的结果； 相关方的反馈； 用于改进信息安全管理体系业绩和有效性的技术、产品或程序； 预防和纠正措施的状况； 风险评估没有充分强调的脆弱性或威胁； 有效性测量的结果； 内审不符合项的跟踪验证； 任何可能影响信息安全管理体系的变更； 改进的建议； 参加管理评审的部门应该按照计划要求准备本部门在信息安全管理体系实施中有关材料，并在会议上汇报。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 编制：*** 审核：*** 批准：*** 日期：2021.03.25 日期：2021.03.25 日期：2021.03.25 深圳市****科技有限公司 管 理 评 审 报 告 ISMS-0107-JL04 编 制： 审 核： 批 准： 2021年03月30日 为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》和2021年度管理评审计划的要求，于2021年03月30日在公司召开了 2021年度管理评审会议。本次会议由总经理负责主持，公司各部门负责人均参加。本次管理评审的内容包括： 1.信息安全管理体系审核和评审的结果； 2.相关方的反馈； 3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序； 4.预防和纠正措施的状况； 5.风险评估没有充果；分强调的脆弱性或威胁； 6.有效性测量的结 7.内审不符合项的跟踪验证； 8.任何可能影响信息安全管理体系的变更； 9．对策略集适宜性、充分性和有效性进行评审。 10.改进的建议。 管理评审会议上，管理者代表以及各部门负责人将信息安全管理体系的建立以及实施情况进行总结，并对下阶段工作提出要求。管理评审内容具体如下： 一、信息安全管理体系审核和评审的结果 管理者代表曹飞澎在会上对管理体系的建立和运行情况进行了分析汇报，体系建设和运行情况如下： 1．我公司成立信息安全管理小组，落实了人员组成和职责。 2．体系实施前期，信息安全管理委员会对我公司各部门进行调查，现场了解现有关信息资产状况及风险管理要求，现有的信息安全管理文件及执行情况，收集相关的安全信息，明确信息安全管理体系目前存在的问题和需要改进的方向。 3．参加内部审核员培训，培训多名信息安全内部审核员，组成本公司信息安全管理体系的内部审核员队伍。 4．制订了信息安全管理体系风险评估工作计划，组建了风险评估小组，对公司现行的业务进行系统分析，完成信息安全风险评估报告。 5．对存在的风险制订风险处置计划，落实责任人员和完成时间，对风险处理计划的执行情况进行监督检查。 6．完成体系文件的编写、审核和发布，形成完善的信息安全管理文件体系。 7．开展了内审工作，验证体系执行的符合性，并对文件的有效性进行验证。在内审后又一次对信息安全管理体系文件进行修改和完善。 8．完成残余风险的分析，并由总经理批准接受。其他风险通过有效控制，达到可接受的风险等级。 9．完成策略集适宜性、充分性和有效性评审，确认策略集是适宜的、充分的和有效的。 二、相关方的反馈 我公司信息系统属内部网络，体系实施以来信息安全管理状况不断完善，未收到内部的有关投诉和上级批评。 三、用于改进信息安全管理体系业绩和有效性的技术、产品或程序 通过对管理层、业务部、综合部、软件部的资产识别，并对识别的信息资产进行评价。通过本次风险评估，本公司的主要信息资产为信息系统数据、涉密文档资料，主要风险为三级风险，涉及信息系统安全管理方面、涉密文档管理方面。但对于即时通讯软件和人员的流员可能性的风险，根据公司目前的规模和状况，识