iso27001-2013管理评审输入报告汇总

ISO27001-2013管理评审报告评审日期：2017年1月15日评审目的：验证体系运行的有效性，寻找改进点。

分析2016-2017年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。

一、评审内容：①安全方针和目标是否正在实现，过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求；②管理人员和监督人员过去3个月中管理与监督的状况，法律法规的满足程度、以及是否达到预期要求；③管理体系运行是否受控、是否有效（近期内审结果），体系文件的事宜性；④纠正措施和预防措施执行情况如何；⑤听取资源充分性报告；⑥风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁；⑦客户反馈意见的汇总分析；⑧员工培训教育情况分析报告；⑨客户投诉及其处理情况汇总；⑩改进的建议；⑪其他日常管理议题。

二、评审组成员：总经理、管代、各部门经理、内审员。

三、评审意见和结论：1、本公司按照ISO27001：2013的要求建立的管理体系，全面覆盖了的业务活动。

从运行以来，管理体系得到了不断地改进与完善，总体运行情况良好。

2、ISMS-1001《信息安全管理手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通过努力正在逐步实现。

3、ISMS-1001《信息安全管理手册》中所列的控制项是真实的。

与之相关联的机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。

共进行了1次内审，内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动，内审共发现2个不符合项，这些问题均已得到了纠正；纠正措施执行情况良好。

ISO27001-2013管理评审输入报告汇总拟定参与人：行政部、研发部、管代、总经理拟定时间：2017年1月15日拟定地点：公司会议室管理层：1安全方针和目标是正在实现过程中，考虑到刚刚实行体系暂不作调整。

过去3个月中所取得的业绩比较良好，目标经考核基本能实现；2管理人员和监督人员过去3个月中管理与监督的状况基本达到预期要求；3管理体系运行受控a. 最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识，能履行其承诺，管理职责明确，重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。

员工能准确答出公司信息安全方针和目标，体现了全员参与。

但个别职能部门信息安全活动和人员中有责任不到位的情况。

b. 建立的信息安全方针和信息安全目标适合于组织的特点，在组织内得到沟通和理解，信息安全目标基本有可测量性；但部分信息安全分目标的适宜性需进一步修改，并应对测算方法作进一步改善。

行政部：1、员工培训教育在本年度进行了5次培训，培训结果基本满意。

2、需要不断提高员工的信息安全意识。

3、畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的意见反馈。

4、物理防范措施受条件所限只能满足最低要求，控制还算得当，未出现严重违反公司相关制度情况。

5、内外部员工的保密协议已经签署完毕，第三方的保密合同正在落实完善过程中。

6、体系组织结构合理，能覆盖全公司各个部门，岗位职责明确，相关书面材料尚在进一步调整过程。

研发部：1尽快完成支持业务可持续性设备的科学演练，在演练过程中需要考虑信息安全。

2加强人员对纠正预防措施处理意见的学习，提高本公司纠正预防能力3风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁得到减缓和消除现状均能接受。

4其他部门对网络部的安全服务设置基本满意。

5针对信息实时备份需求，需要安排一定时间建设实时备份系统。

6需加强员工对软件及应用专业知识和相关法律法规的学习，7完善应急预案编制，加强对威胁的认识。

管理评审输入信息
3.1行政部
管理评审——行政部输入信息
行政部负责人：XXX 日期：2014年7月12日
3.2 人力资源部
管理评审——人力资源部输入信息
人力资源部负责人：XXX 日期：2014年7月12日
3.3采购部
管理评审——采购部输入信息
采购部负责人：XXX 日期：2014年7月12日
3.4生产部
管理评审——生产部输入信息
生产部负责人：XXX 日期：2014年7月12日
3.5技术部
管理评审——技术部输入信息
技术部负责人：XXX 日期：2014年7月12日
3.6设备部
管理评审——设备部输入信息
设备部负责人：XXX 日期：2014年7月12日
3.7质检部
管理评审——质检部输入信息
质检部负责人：XXX 日期：2014年7月12日
3.8营销部
管理评审——营销部输入信息
营销部负责人：XXX 日期：2014年7月12日
3.9物流部
管理评审——物流部输入信息
物流部负责人：XXX 日期：2014年7月12日
3.10营销副总
管理评审——市场/销售方面输入信息
营销副总：XXX 日期：2014年7月12日
3.11管代/生产副总
管理评审——生产/体系方面输入信息
管代/生产副总：XXX 日期：2014年7月12日。

年度公司内审报告编号：公司半年度信息安全内部体系审核工作已完成，目前整改工作已经结束。

为评价依据ISO27001标准建立的信息安全管理体系的符合性及运行的有效性，本公司于年月日至年月日对本公司进行了为期天的安全体系审核。

审核依据ISO27001标准及本公司的安全方针、规定和标准文件、相关管理文件及国家法律法规。

此次内审依据客观事实，查出不合格项处。

其分布情况见不合格分布情况表，主要薄弱环节为员工熟悉掌握安全方针和程序文件的工作不够认真，因此在实际工作中出现未严格执行程序文件的情况。

各类不合格情况分布见表1。

表1 不合格项分类情况分布表从内审中发现的不合格项来看，发现不合格事件项（无严重不合格项），均为实施性不合格，无体系性不合格和效果性不合格。

这主要是因为公司有关人员在较大工作压力下，执行ISO27001体系文件过程中不够细致，安全意识有所松懈。

因此建议有关部门针对不合格开展适宜的培训，使有关人员熟悉掌握信息安全管理体系文件及标准，以促使保证公司安全管理体系持续有效的运行。

通过本次内审，根据不合格问题制定出组织公司和各部门进行相应的培训（根据本部门的实际情况而定），在月日前完成整改，纠正措施完成情况见表2。

表2 纠正措施计划完成情况统计表统计日期：年月日审核结果表明，我公司安全管理体系自试运行以来，通过各部门积极遵循公司安全体系文件和ISO27001标准的要求，实行文件化、规范化管理，公司的安全体系运行基本持续有效，符合ISO27001:2005标准，适宜公司的长远发展。

这说明公司领导层及各部门负责人对安全体系给予了高度的重视，并针对不合格及时开展适宜的培训，使有关人员熟悉掌握安全体系文件及标准，内审工作中的纠正措施得以能够按期完成。

通过整改，各部门对公司的安全体系及相关文件理解得更深入了，比较能恰当地应用了，公司安全管理体系持续有效运行，符合安全管理体系标准。

编写：信息安全小组审批：日期：分发范围：各部门部门经理，内审小组成员。

iso管理体系年度管理评审输入报告ISO管理体系年度管理评审输入报告技术质安部根据公司管理体系的要求，全面检验公司管理体系在公司本部的各项目部的运行情况和有效性，检查制定的各项管理措施方案，以及与之相关的程序文件的要求实施和落实情况，确保体系正常运行，使公司在管理上更趋程序化、系统化、规范化、标准化，按ISO9001管理体系认证要求，技术质安部对公司本部和工程项目部展开了管理评审和体系运行检查，并针对上次评审中出现的不合格项进行重点监督和检查，严防不合格项在公司内部重复发生，杜绝使之成为公司严重不合格项，综合本次管理评审的情况，三个体系在各项目和部室运行基本正常。

质量意识、安全意识、环何意识在贯标工作三年里通过学习?实施?再学习?再实施的过程中得到进一步加强，做精品工程，施工工程的以人为本的理念在全公司上下得到充分体现，在持续不断的改进中管理人员、作业人员素质得到进一步提升，工程管理能力、管理水平得到提高，三个体系中蕴含精管理在公司日常管理中得到升华，各项管理措施得到了完善，同时在评审和检查过程中各项目也发现了在体系运行中存在项目的个别操作人员对体系的标准理解不深，管理上出现漏洞等方面的问题，为促进公司发展和管理上持续改进，现将有关评审情况汇报如下:一、体系在公司本部和项目运行及执行情况1.1通过对项目部和公司本部管理体系运行情况和审查，各项目部质量体系、职业健康安全体系、环境体系运行基本正常，项目和部室对此项工作都能高度重视，能有效地将贯标工作贯穿到各项目和部室的全面工作中，严格执行ISO9001管理体系相关条款，PCDA循环在各项目中得到很好运用和实践，服务、创新、求变、安全、健康意识得到增强，规范、标准、严谨的工作作风得到了加强，用制度来管理，用条例来管理，用程序化的思维来管理，用责任来管理的先进管理理念得到充分展现。

1.2经过对项目相关顾客满意度数据分析，各项目以顾客为中心，以顾客为关注焦点在实际工作中得到进一步落实，服务意识、双赢意识贯穿日常工作中，在查看问卷调查表10个方面的调查报告中，顾客对项目部在“现场文明施工执行情况满意度调查中，较为满意和一般满意占的比率比较大，公司应加强在这方面的跟踪和自查，经分析综合顾客满意度数据统计，满意度为94.5%，说明公司的工作得到了顾客的肯定。

ISO27001-2013信息安全管理体系
风险评估报告
一、实施范围和时间
本公司ISMS所涉及的相关部门以及相关业务活动。

本此风险评估的实施时间为2019年3月16日至2019年3月20日。

二、风险评估方法
参照ISO/IEC27001和ISO/IEC27002标准，以及《GB/T 20984-2007信息安全技术信息安全风险评估规范》等，依据公司的《信息系统管理制度》确定的评估方法。

三、风险评估工作组
经信息中心批准，此次风险评估工作成员如下：
评估工作组组长：xxx
评估工作组成员：xxx、xxx 、xxx、xx
四、风险评估结果
4.1 信息资产清单
各部门的信息资产清单见部门信息资产清单。

4.2重要资产面临威胁和脆弱性汇总
重要资面临的威胁和脆弱性分别见附件一和附件二。

4.3风险结果统计
本次风险评估，共识别出信息安全风险9个，不可接受的风险2个，具体如下：
五、风险处理计划
风险处理计划见附件四
附件一：重要资产面临的威胁汇总表
表1-1：重要硬件资产威胁识别表
表1-2 重要应用系统资产威胁识别表
附件二：重要资产面临的脆弱性汇总表
表 2-1 重要资产脆弱性汇总表
附件三：风险评估问题列表
附件四：风险处理计划
根据本次风险评估结果，对不可接受的风险进行处理。

在选取控制措施和方法时，结合公司的财力、物力和资产的重要度等各种因素，制定如下风险处理计划。

该计划已经信息安全领导办公室审核批准。

ISO27001-2013管理评审计划编制部门：信息安全管理委员会时间：2017年1月10日评审日期2017年1月15日地点会议室主持人李彦忠管理评审目的/范围：目的：通过信息安全管理体系评审，检查各部门执行体系的情况，验证适宜性、充分性、有效性。

范围：适用于评审组织的ISMS，包括信息安全方针和信息安全目标的评审。

管理评审的主要内容：a) ISMS审核和评审的结果、方针和目标；b) 相关方的反馈；c) 可以用于改进ISMS业绩及有效性的技术、产品或程序；d) 纠正和预防措施的实施情况；e) 在以前风险评估没有充分提出的薄弱点或威胁；f) 以往管理评审的跟踪措施；g) 可能影响ISMS的任何更改；h) 改进的建议。

管理评审的进度安排：①各部门做好本部门信息安全管理体系的总结评价，电子邮件至管理者代表，由管代整理完成管理评审输入材料；②各部门于1月15日前将管理评审输入报告电子档送管理者代表处汇总；③管理者代表整理汇总各部门的改进建议，起草作为管理评审输入提交公司总经理；④1月15日召开管理评审会议，作出改进决定。

向管理评审会议提交书面材料及口头报告的要求：①本年度ISMS内部审核结果的汇报（汇报人：管理者代表）②员工、顾客反馈信息和满意程度的测量结果的汇报（汇报人：各部门）③用于改进ISMS执行情况和有效性的技术、产品、规程（汇报人：各部门）④纠正和预防措施的实施情况的汇报（汇报人：各部门）⑤之前风险评估没有充分强调的脆弱点或威胁；风险处理计划的执行情况（汇报人：行政部）⑥信息安全方针和信息安全目标的适宜性和有效性、法律法规、控制目标等有效性的测量；（汇报人：行政部）⑦以往管理评审的跟踪措施；（本次不适用）⑧可能影响ISMS的任何变更；（汇报人：各部门）⑨总经理总结发言，答复各部门建议、提出改进措施。

管理评审会议参加的人员范围：公司总经理、信息安全管理委员会全员、内审员、各部门主管。

管理评审报告发放日期及范围：管理评审报告于评审会议结束后的2日内发出。

信息安全管理体系管理评审报告评审日期：2009 年 4 月 1 日评审目的：分析2009 年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。

评审内容：①安全方针和目标是否正在实现，过去 4 个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求；②管理人员和监督人员过去 4 个月中管理与监督的状况，是否达到预期要求；③管理体系运行是否受控、是否有效（近期内审结果）；④纠正措施和预防措施执行情况如何；⑤听取资源充分性报告；⑥风险评估中提出的薄弱点或威胁；⑦客户反馈意见的汇总分析；⑧员工培训教育情况分析报告；⑨客户投诉及其处理情况汇总；⑩改进的建议；⑪其他日常管理议题。

评审组成员：评审意见和结论：1、本公司按照ISO27001：2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动；从运行以来，管理体系得到了不断地改进与完善，总体运行情况良好。

2、《ISMS 手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通过努力正在逐步实现。

3、《ISMS 手册》中所列的控制项（133 项参数或指标）是真实的。

与之相关联的机构和岗位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。

上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动，内审共发现9 个不符合项，这些问题均已得到了纠正；纠正措施执行情况良好。

5、采用附录A 中的11 类控制方式，其中其中删减了8 处，其余125 个控制点得到了满意的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。

管理评审输入报告篇一：管理评审报告及相关输入、记录管理评审计划编号：YFR5.6-一02一、评审目的：通过本次管理评审活动,通报和总结公司质量管理体系和产品质量管理、内部质量审核情况，系统评估公司质量方针、质量目标和质量管理体系的持续适宜性、充分性、有效性；确定公司质量管理体系建设的下一步工作，识别改进的机会。

以满足国家标准和顾客需求与期望，提高公司的竞争力与适应力。

二、评审依据：《质量手册》、“管理评审程序”以及各部门汇报材料三、评审时间：2021年7月8日（一天）四、评审地点：公司二楼会议室五、参加部门与人员：总经理、管代、部门负责人、内审组成员六、管理评审会议议程：1、公司总经理主持会议说明管理评审的有关事项。

2、各部门汇报质量管理体系运行情况，并由总经理主持公司管理层在部门汇报完毕之后对该部门作有效性、充分性、适宜性及建议进行评价和提出改进决策。

3、对质量管理体系实施和保持效果的综合评价。

4、总经理主持公司管理层总结评审结果及改进方向。

5、管理者代表出具管理评审报告。

6、管理评审措施进行验证。

八、各部门准备材料要求：①销售公司提供市场调研，走访用户，用户满意调查的总结。

②化验室提供近阶段体系运行以来产品实物质量情况的统计分析。

③生产技术部提供目前设备现状及运行、生产计划完成情况的报告。

④采供部提供原、燃材料采购情况和市场调查分析报告。

⑤综合办公室提供目前人力资源分布，配制及培训汇报。

⑥全质办提供质量方针、质量目标贯彻实施情况、内部质量体系审核报告、纠正和预防措施报告。

编制人：日期:审批人：日期:管理评审报告编号：YFR5.6一-01一、评审目的：确保公司质量方针、质量目标和质量管理体系的持续适宜性、充分性、有效性；识别改进的机会，确定变更的需要。

以满足国家标准和顾客需求与期望，提高公司的竞争力与适应力。

二、评审时间：2021年7月8日（一天）三、评审地点：公司二楼会议室四、参加部门与人员：总经理、各位副总经理、质量体系覆盖的相关部门的负责人及全体内部质量体系审核员五、管理评审综述及结论：根据IS09001：2021标准要求和公司制定的《管理评审控制程序》的规定，2021年7月8日在总经理的主持下，召开了2021年度管理评审会议。