《ISO27001:2013管理评审报告.docx》由会员分享,可在线阅读,更多相关《ISO27001:2013管理评审报告.docx(4页珍藏版)》请在得力文库 - 分享文档赚钱的网站上搜索。
1、ISO27001:2013管理评审报告ISO27001-2021管理评审报告评审日期:2017年1月15日评审目的:验证体系运行的有效性,寻找改良点。分析2016-2017年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目的,提出改良措施、建议,确保信息安全方针、目的的实现和知足法律法规和客户的需求。一、评审内容:安全方针和目的能否正在实现,过去3个月中所获得的业绩能否到达、完成或超过安全方针和目的的要求;管理人员和监督人员过去3个月中管理与监督的状况,法律法规的知足程度、以及能否到达预期要求;管理体系运行能否受控、能否有效最近内审结果,体系文件的事宜性;纠
2、正措施和预防措施执行情况怎样;听取资源充分性报告;风险评估报告、可接受风险等级、报告中提出的薄弱点或威胁;客户反应意见的汇总分析;员工培训教育情况分析报告;客户投诉及其处理情况汇总;改良的建议;?其他日常管理议题。二、评审组成员:总经理、管代、各部门经理、内审员。三、评审意见和结论:1、本公司根据ISO27001:2021的要求建立的管理体系,全面覆盖了的业务活动。从运行以来,管理体系得到了不断地改良与完善,总体运行情况良好。2、ISMS-1001(信息安全管理手册)规定的本公司的安全方针、目的,符合准则要求和本公司实际情况,通过努力正在逐步实现。3、ISMS-1001(信息安全管理手册)中所
3、列的控制项是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。共进行了1次内审,内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动,内审共发现2个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。硬件、采用附录A中的11类控制方式,130个控制点得到了满意的结果,存在少量的一些问题详见内审报告,也已提交了整改报告。硬件、我司开展的风
4、险评估活动,识别了公司各类信息资产,并进行风险评价。本公司规定风险评估结果中风险等级4定义为不可接受风险,需要对信息资产采取一定控制措施进行处置,本次风险评估识别出高风险,并就高风险资产识别对应的脆弱性和威胁值。详细对其处置见ISMS-402硬件(信息安全不可接受风险处理计划)。公司组织召开信息安全管理委员会,大会决议接受风险处置后的残余风险。硬件、客户反应的意见,如对信息安全的自信心保证;体系运行至今未接到客户投诉,但通过认证是增加自信心的有效手段,顾客意见将得到知足。硬件、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的气氛还没有构成,培训的方式要不断改良。9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。10、员工信息安全意识需要加强、培训的力度要加大。可预见的,我公司近年工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次能够根据病毒的爆发情况及相关法律法规、战略目的的调整再次增加;为了进一步加强为客户的服务,提高本人的竞争能力,对控制措施的考评方法可进一步完善。11、公司各方面日常管理需要进一步规范,保证信息安全管理体系有效稳定运行。综上所述,本公司的信息安全管理体系文件是一套文件化的完好的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其