信息安全管理体系管理评审报告

XXXXXXXXX

管理评审报告（编号:XXXXXX）

编制：XXXXX

批准：XXXX

2020年XX月XX日

为验证公司体系文件的适宜性、充分性和有效性，评价和寻求信息安全和服务管理体系改进的机会和变更的需要（包括管理方针和管理目标），公司在2020年01月17日下午13点-16点在公司会议室召开2019年管理评审会议。本次会议由管理者代表主持，管理者代表、各部门代表、内审员参加。本次管理评审的内容包括：

1.以往内部审核的结果；

2.相关方的反馈；

3.现行信息安全管理体系的整体有效性、适应性和充分性。

4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；

5.预防和纠正措施的状况；

6.风险评估没有充分强调的脆弱性或威胁；

7.有效性测量的结果；

8.任何可能影响信息安全管理体系的变更；

9.改进的建议。

管理评审会议上，管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结，并对下阶段工作提出要求。

管理评审内容具体如下：

一、信息安全和服务管理体系审核和评审以及外审的结果

管理者代表在会上对管理体系的建立和运行情况进行了分析：

（一）体系运行情况

1.我公司自体系运行以来，人员组成和职责得以实现。

2.运行期间，公司进一步完善了现有信息资产状况及风险管理要求，现有的信息安全和服务管理文件及执行情况，收集相关的信息，明确信息安全和服务管理体系目前存在的问题和需要改进的方向。

3.公司在运行期间，在参加外部培训的同时，针对体系运行的不同阶段，制定2019年度本公司内部培训计划，组成本公司管理体系的内部专家和内部审核员队伍，并按计划进行了内审。

4.根据公司体系文件要求，2019年度核定了《信息安全风险评估计划》，由公司内部风险评估小组，对公司现行的业务进行系统分析，并独立完成信息安全风险

评估报告。

5.针对高风险制定的控制措施进行了验证。

6.完成了体系文件的完善，形成了较为全面的信息安全和服务管理体系。

7.2019年度内审与管理评审均能正常开展，体系执行的符合性得以验证，并对文件的有效性进行验证。根据标准的要求，建立了公司完整的信息安全和服务管理体系，确定有效的信息安全和服务的方针和管理手册。

8.完成了体系合并后的残余风险的分析，通过有效控制，所有风险均得到控制，达到可接受的风险等级。

9.在运行过程中，公司通过会议等方式进行信息沟通交流。

（二）内部审核的情况

为验证公司信息安全和服务活动符合性和有效性，组织了信息安全和服务管理体系内审，也是体系文件发布后第一次内审。内审中共发现1个不符合项，没有发现严重不符合项存在，一些安全隐患均得以控制和改善。审核发现问题主要有以下几个方面：

1.信息安全管理意识仍需加强。

2.由于公司在体系运行实施虽有一段时间，但有关记录的填写仍存在不完善现象。

针对上述问题，我们按照“贯标是手段、是载体而不是目的，体系文件写到要做到，做到要有效，有效要检查，检查要考核闭环管理”的要求，一一落实责任部门进行整改。各单位/部门对内审工作较为重视，部门负责人和专职全程参与了内审，根据内审报告制定了纠正计划，按照文件要求按时整改。

通过内审，对标准以及体系文件进行了再学习，大家对信息安全和服务管理有了更进一步的理解，执行起来也更为顺畅。以往各专业条款的管理力度较大，横向的交流相对欠缺，虽然各有各的特点和长处，平时不易接触和学习到，通过这次贯标，进行了跨专业的检查，也起到了互相学习、共同进步的效果。通过实践，我们的信息安全和服务管理体系更加符合我们的实际工作，运行更加有效。

本次内部审核，我们认为公司的信息安全管理体系实施运行基本可行，体系运行正常有效。

二、相关方的反馈

我公司信息系统，贯标以来信息安全管理状况不断完善，未收到内部或外部相关方的有关投诉和上级批评，小问题基本能够在沟通中妥善解决，以达到相关方满意。

三、现行信息安全管理体系的整体有效性、适应性和充分性

就目前看，我公司建立的信息安全管理体系已基本符合标准和公司信息安全方针的要求，并逐步得到有效的运行，已在信息安全管理上获得了较好的作用。我们的信息安全管理体系虽已步入正常运行，但旧的思维方式和工作方法还没有完全改观，不熟悉体系文件，执行不到位的现象还客观存在，少部分人员的信息安全意识还有待加强。

四、用于改进信息安全管理体系业绩和有效性的程序

通过资产识别和风险评估来建立新的信息安全管理体系文件，资产识别共涉及到管理层、销售部、生产部、研发部、质量部、采购部、人资部、财务部；对识别的公司信息资产进行评价，评估出重要信息资产，并给重要资产进行风险赋值。经本次风险评估发现，本公司的主要信息资产仍为信息系统、涉密文档资料；主要风险前期运行中已得以有效控制，当前风险仍涉及信息系统安全管理方面、涉密文档管理方面。

五、预防和纠正措施的状况

公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发现存在问题，并对存在问题的原因进行分析，制定相应的纠正措施，各部门进行有效控制。通过实施验证，发现纠正措施实施有效，对防止问题的再次发生，起到有效预防作用。

六、风险评估产生充分强调的脆弱性或威胁

随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工信息安全意识的提高，对风险有了新的认识或产生新的风险，因此，应按规定周期连续进行风险评估。

七、有效性测量的结果

我公司信息安全的目标为重大信息安全事件（事故）为零。为完成公司的信息

安全目标，公司通过多种渠道进行检测和分析，如制定文件，明确达成目标中所遇到的风险的监控，包括对风险处理计划执行的监测，风险等级的分析检测，网络访问的检查，技术符合性的监测以及安全日志审核以及安全事件的监督等。通过各种手段的监测，我公司信息安全达到规定的目标，目前没有发生重大信息安全事件，事故为0。

八、任何可能影响信息安全管理体系的变更

目前公司的体系运行正常，尚无重大变更。

九、改进的建议

我公司的信息安全贯标工作，是由各部门积极投入到贯标工作中来，项目进度控制合理，总体来说实施质量较好，发现并处理了一批隐藏较深的重大隐患，建立了系统化的信息安全管理控制体系，大大提高了信息安全风险的掌控能力。在看到成绩的同时，我们也应看到信息安全贯标工作的复杂性。

1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件的运行效率，通过体系外审视最近的目的。

2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。

3、加强对变更后威胁的认识，并据此完善调查制度，逐步建设一套完善的应急监测、响应系统。

4、进一步了解管理部门、社会各界需求业的需求，细分这些需求，逐步满足这些需求，增强本公司竞争力。

5、日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前有足够的时间准备，降低忙中出错的几率。