ISO27001:2013管理评审报告

合集下载
  1. 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
  2. 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
  3. 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。

ISO27001-2013管理评审报告

评审日期:2017年1月15日

评审目的:验证体系运行的有效性,寻找改进点。

分析2016-2017年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。

一、评审内容:

①安全方针和目标是否正在实现,过去3个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求;

②管理人员和监督人员过去3个月中管理与监督的状况,法律法规的满足程度、以及是否达到预期要求;

③管理体系运行是否受控、是否有效(近期内审结果),体系文件的事宜性;

④纠正措施和预防措施执行情况如何;

⑤听取资源充分性报告;

⑥风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁;

⑦客户反馈意见的汇总分析;

⑧员工培训教育情况分析报告;

⑨客户投诉及其处理情况汇总;

⑩改进的建议;

⑪其他日常管理议题。

二、评审组成员:

总经理、管代、各部门经理、内审员。

三、评审意见和结论:

1、本公司按照ISO27001:2013的要求建立的管理体系,全面覆盖了的业务活动。从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。

2、ISMS-1001《信息安全管理手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。

3、ISMS-1001《信息安全管理手册》中所列的控制项是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。

共进行了1次内审,内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动,内审共发现2个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。

硬件、采用附录A中的11类控制方式,130个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。

硬件、我司开展的风险评估活动,识别了公司各类信息资产,并进行风险评价。本公司规定风险评估结果中风险等级≥4定义为不可接受风险,需要对信息资产采取一定控制措施进行处置,本次风险评估识别出高风险,并就高风险资产识别对应的脆弱性和威胁值。具体对其处置见ISMS-402硬件《信息安全不可接受风险处理计划》。公司组织召开信息安全管理委员会,大会决议接受风险处置后的残余风险。

硬件、客户反馈的意见,如对信息安全的信心保证;体系运行至今未接到客户投诉,但通过认证是增加信心的有效手段,顾客意见将得到满足。

硬件、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。

9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。

10、员工信息安全意识需要加强、培训的力度要加大。可预见的,我公司近年工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次可以根据病毒的爆发情况及相关法律法规、战略目标的调整再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,对控制措施的考评方法可进一步完善。

11、公司各方面日常管理需要进一步规范,保证信息安全管理体系有效稳定运行。

综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其

相关文档
最新文档