ISO27001：2013管理评审报告

ISO27001-2013管理评审报告
评审日期：2017年1月15日
评审目的：验证体系运行的有效性，寻找改进点。

分析2016-2017年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。

一、评审内容：
①安全方针和目标是否正在实现，过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求；
②管理人员和监督人员过去3个月中管理与监督的状况，法律法规的满足程度、以及是否达到预期要求；
③管理体系运行是否受控、是否有效（近期内审结果），体系文件的事宜性；
④纠正措施和预防措施执行情况如何；
⑤听取资源充分性报告；
⑥风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁；
⑦客户反馈意见的汇总分析；
⑧员工培训教育情况分析报告；
⑨客户投诉及其处理情况汇总；
⑩改进的建议；
⑪其他日常管理议题。

二、评审组成员：
总经理、管代、各部门经理、内审员。

三、评审意见和结论：
1、本公司按照ISO27001：2013的要求建立的管理体系，全面覆盖了的业务活动。

从运行以来，管理体系得到了不断地改进与完善，总体运行情况良好。

2、ISMS-1001《信息安全管理手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通过努力正在逐步实现。

3、ISMS-1001《信息安全管理手册》中所列的控制项是真实的。

与之相关联的机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。

共进行了1次内审，内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动，内审共发现2个不符合项，这些问题均已得到了纠正；纠正措施执行情况良好。

硬件、采用附录A中的11类控制方式，130个控制点得到了满意的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。

硬件、我司开展的风险评估活动，识别了公司各类信息资产，并进行风险评价。

本公司规定风险评估结果中风险等级≥4定义为不可接受风险，需要对信息资产采取一定控制措施进行处置，本次风险评估识别出高风险，并就高风险资产识别对应的脆弱性和威胁值。

具体对其处置见ISMS-402硬件《信息安全不可接受风险处理计划》。

公司组织召开信息安全管理委员会，大会决议接受风险处置后的残余风险。

硬件、客户反馈的意见，如对信息安全的信心保证；体系运行至今未接到客户投诉，但通过认证是增加信心的有效手段，顾客意见将得到满足。

硬件、内部控制活动正常，但信息沟通还需进一步通畅，员工自觉学习的氛围还没有形成，培训的方式要不断改进。

9、现场记录填写的质量存在问题较多，需进一步加强；内审员的监督作用需要加强并充分发挥。

10、员工信息安全意识需要加强、培训的力度要加大。

可预见的，我公司近年工作类型不会发生重大变化，工作量将会进一步增加。

计算机系统的点检监督监测频次可以根据病毒的爆发情况及相关法律法规、战略目标的调整再次增加；为了进一步加强为客户的服务，提高自己的竞争能力，对控制措施的考评方法可进一步完善。

11、公司各方面日常管理需要进一步规范，保证信息安全管理体系有效稳定运行。

综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件；并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员，其
机构、岗位和人员的职责明确，配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有效服务。

由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系，本公司应用软件开发的活动是适宜的、充分的和有效的。

四、会议决定：
1、现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。

2、本公司各部门和全体人员、外包方都必须按照体系文件的规定，指导、约束自己的行为，履行自己的岗位职责；应注意利用日常点检，不断确定持续改进的措施，实现本公司的信息安全方针和目标。

3、本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化，保证管理体系的有效运行。

4、由总经理及时完成本次管理评审报告；综合管理部负责整理本次管理评审记录并归档，同时传递给其他部门，输入下一年度计划。

硬件、管理评审报告分发范围：各部门负责人和内审员。

五、对今后工作的改进要求：
1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件的运行效率，通过体系外审视最近的目的。

2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。

3、进一步完善应急预案编制，加强对威胁的认识，并据此完善调查制度，逐步建设一套完善的应急监测、响应系统。

4、进一步加强数据储存管理，不断提高管理的应用的水平，尽快完善同步备份制度或者尽量减少储存的备份时差。

硬件、进一步了解管理部门、社会各界需求及市场的需求，细分这些需求，逐步满足这些需求，增强本公司竞争力。

硬件、日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前有足够的时间准备，降低因忙中出错对信息安全的威胁。

硬件、责成综合管理部，尽快完成支持业务可持续性设备的科学演练。

硬件、加强对纠正预防措施处理意见的学习，上半年派相关人员前往咨询机构做进一步的学习交流，提高本公司纠正预防能力。

畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的关注程度。

9、进一步加强与现有管理体系的融合。

10、上述的输出，要在下次监督审核以前完成，责成各主管职能部门经理监督负责。

管理者代表：总经理：日期：2017年1月15日。