管理评审报告-2020年ISO27001-信息安全管理体系

信息安全管理体系管理评审报告编制：审核：批准：管理评审计划编号：计划评审日期2020.07.09评审地点四楼会议室评审目的：对公司信息安全管理方针和目标的实现情况以及信息安全管理体系的运行状况进行评审，确定信息安全管理体系是否持续适宜、充分且有效的满足《ISO/IEC27001:2013信息安全管理体系要求》以及公司内部信息安全管理体系的要求，评审组织：主持：总经理出席人员：管理者代表、各部门负责人评审内容：a）以往管理评审要求采取措施的状态；b）与信息安全管理体系相关的内部和外部问题的变化；c）信息安全绩效有关的反馈，包括下列趋势性信息：1）不符合和纠正措施；2）审核结果；3）信息安全目标完成情况；d）相关方的反馈；e）风险评估结果及风险处置计划的状态；f）持续改进的机会。评审准备工作要求：预定评审前7天，总经办负责根据评审内容要求，组织评审资料的收集。要求公司各部门准备参加评审会议的讨论提纲等必要的文件，评审资料由管理者代表确认。编制：批准：日期：信息安全管理评审报告评审目的对公司信息安全管理方针和目标的实现情况以及信息安全管理体系的运行状况进行评审，确定信息安全管理体系是否持续适宜、充分且有效的满足《ISO/IEC27001:2013信息安全管理体系要求》以及公司内部信息安全管理体系的要求，评审范围与职业健康安全管理相关的所有过程（活动）评审依据ISO/IEC27001:2013信息安全管理体系要求；2、管理手册、程序文件、作业指导书及相关管理制度；3、与信息安全管理相关的法律法规要求；4、顾客要求以及其他相关方的要求。评审时间2020年07月09日地点四楼会议室参加人员信息安全管理体系相关的负责人及各部门责任人管理评审报告管理评审报告管理评审报告管理评审报告管理评审报告管理评审输入：a）以往管理评审要求采取措施的状态；b）与信息安全管理体系相关的内部和外部问题的变化；c）信息安全绩效有关的反馈，包括下列趋势性信息：1）不符合和纠正措施；2）审核结果；3）信息安全目标完成情况；d）相关方的反馈；e）风险评估结果及风险处置计划的状态；f）持续改进的机会。1.0以往管理评审要求采取措施的状态在2019年进行的管理评审中，共提出四个改进项目，均得到有效实施和完成，经跟踪验证确认符合管理评审时提出的改进要求。管理评审改进项目100%关闭。具体完成情况参见《2019年管理评审纠正和预防措施实施记录表》。2.0与信息安全管理体系相关的内部和外部问题的变化公司在信息安全管理体系策划和实施过程中，由行政部定期组织相关部门针对当前可能影响公司信息安全管理体系相关的的内外部问题，包括：国内有关政策、相关的法律法规，国内总体经济形势、关联行业发展形势，现有工艺技术，内部人财物技术资金等，运用SWOT分析法进行了分析，确定了我们的优势和短板，找出来可能的机遇，面临的风险。将有关风险特别是信息安全风险纳入管理体系中。体系运行以来，风险基本可控。公司通过管理体系认证后将更好的保护公司以及相关方的信息安全，公司效益也将因此进一步提升。具体分析结果《内外部问题分析报告》。3.0内部审核结果3.1自信息安全管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。3.2在2020年月实施了本年度内审，内审覆盖了本公司与软件研发与技术服务的所有管理活动和技术活动，内审共发现2个不符合项，这些问题均已得到了纠正；纠正措施执行情况良好。3.3采用附录A中的11类控制方式，130个控制点得到了满意的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。3.4现场记录填写的质量存在问题较多，需进一步加强；内审员的监督作用需要加强并充分发挥。3.5员工信息安全意识需要加强、培训的力度要加大。可预见的，我公司近年工作类型不会发生重大变化，工作量将会进一步增加。计算机系统的点检监督监测频次可以根据病毒的爆发情况及相关法律法规、战略目标的调整再次增加；为了进一步加强为客户的服务，提高自己的竞争能力，对控制措施的考评方法可进一步完善。3.6本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件；并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员，其机构、岗位和人员的职责明确，配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系，本公司应用软件开发的活动是适宜的、充分的和有效的。4.0不符合和纠正措施4.1针对本次内审发现的问题，制定了详细的纠正和预防措施，经过验证，现在均已得到关闭。4.2我部门在对体系日常运行中的预防和纠正措施的状况进行严格跟踪，指定责任人和落实日期，验证结果整体良好。如下为公司采取的部分整改措施：4.3已经全部安装杀毒软件、病毒库为最新；4.4所有员工系统补丁打到最新版本；4.5所有员工设置了屏保，屏保设置不超过硬件分钟；并设置了密码恢复；4.6所有员工内部系统登录口令符合安全要求；4.7已执行相关的介质管理规定，非授权禁止带出设备，重要数据加密；4.8制定访客制度，进行登记；4.9对公司重要服务器进行每周备份异地备份；4.10已经对财务报账计算机进行了物理隔开。5.0信息安全方针实施及目标完成情况5.1公司自实施信息安全管理体系以来，总经理根据公司实际情况并结合企业长期发展目标制定并批准了信息安全管理方针，方针如下：实施风险管理，确保信息安全，保障业务可持续发展。信息安全方针含义:a.根据本公司业务信息安全的特点、法律法规要求，建立风险评估程序，确定风险接受准则。定期进行风险评估，以识别本公司风险的变化。本公司或环境发生重大变化时，随时评估。应根据风险评估的结果，采取相应措施，降低风险。b.在日常企业生产和管理中，对信息安全予以重视，全面识别和分析全部信息资产，系统考虑企业信息系统薄弱点、可能存在的威胁，考虑成本、利益、风险的综合平衡，对资产进行分类保护，以适宜的成本达到系统保护的要求。c.建立健全信息安全监督和保证体系，明确各级、各岗位的信息安全责任，以人为本，坚持全员、全方位、全过程信息安全管理。通过测量和监控，持续改进，保证信息安全管理体系的有效运行，做到制度执行有记录、记录记载可追溯，最终保障企业生产、经营、管理和服务的持续和安全，实现企业发展目标。5.2根据信息安全管理方针，公司制定了如下信息安全管理目标：1)安全事件发生次数：重大安全事件目标值：0次/年；较大安全事件目标值：不大于4次/年；一般安全事件目标值：不大于8次/年。2)信息泄密次数：保证各种需要保密的资料（包括电子文档、光盘等）不被泄密，确保秘密、机密信息不泄漏给非授权人员。信息泄密次数目标值：0次/年。具体目标各部门分解如下：部门部门信息安全目标统计方式监测频率综合部1、人员招聘手续办理完成率100%；2、人员教育或培训实施率100%；3、人员离职手续办理完成率100%；4、办公环境消防设施配置率100%；5、办公环境消防设施点检率100%；6、每年至少组织实施完成1次信息安全内审，且资料齐全；7、每年至少组织实施完成1次信息安全管理评审，且资料齐全；8、每年至少进行1次信息安全体系文件评审及更新；9、每年至少组织实施完成1次风险评估。1、查看全部员工入职手续办理情况；2、查看培训计划及培训实施情况；3、查看实际人员离职及手续办理情况；4、现场检查办公环境消防器材配备情况；5、现场检查办公环境消防器材的检修情况；7、按照信息安全内审计划执行内审及改进，及时整理信息安全内审资料；8、按照信息安全管理评审计划执行评审及改进，及时整理信息安全管理评审资料；9、每年集中对信息安全管理体系文件进行评审，必要时进行更新；10、每年组织各相关部门进行风险评估回顾、对新增或发生变化的信息资产进行风险评估。每年研发部1、网络非正常中断每月≤1次。2、主机系统非正常中断每月≤1次。1、以每月的网络中断事件为依据2、以每月的主机系统中断事件为依据每半年其他部门重要文档及数据被正确保管及使用，机密信息泄露次数为0次每半年检查一次日常工作文件及数据是否被正确保管及使用，以及机密信息泄露相关事件。每年通过分析监视和测量结果，公司制定的信息安全方针和目标是有效的，具体监视和测量结果见《信息安全目标统计表》。6.0风险评估结果及风险处置计划的状态我司开展的风险评估活动，识别了公司各类信息资产，并进行风险评价。本公司规定风险评估结果中风险等级≥4定义为不可接受风险，需要对信息资产采取一定控制措施进行处置，本次风险评估识别出高风险，并就高风险资产识别对应的脆弱性和威胁值。具体对其处置见《信息安全不可接受风险处理计划》。公司组织召开信息安全管理委员会，大会决议接受风险处置后的残余风险。7.0相关方的反馈7.1目前已建立畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的意见反馈。7.2满足相关利益方的要求。信息安全内外部组织协调顺利，不存在沟通障碍。建立了内外部专家名单和内外部相关组织联系单。7.3安全职责分配到位，且建立了相应的授权机制。目前尚不需要更新，待体系运行一个阶段之后再做调整。7.4内外部员工的保密协议已经签署完毕，第三方的保密合同正在落实完善过程中。7.5本部门员工对ISMS的认可程度较高，态度很好。通过信息安全管理体系的建设和实施，员工对公司的安全管理信心上升。8.0持续改进的机会通过本次评审，公司需在如下方面继续进行持续改进：1、加强公司上下对控制措施有效性的执行力度的要求。2、需要组织更多的安排信息安全相关的培训。3、需要不断提高员工的信息安全意识。4、对关键岗位应进行人才储备，防止因突然离职、请假等突发事件导致的业务中断。以上四点改进建议，将作为下一次管理评审的输入。管理评审结论1、本单位经过几年的ISMS体系建设的积累，人员安全意识大幅提高，本单位的信息安全体系符合度有大幅提升，基本能够满足ISO27001：2013标准要求，管理层认为本单位的信息安全工作做得还是比较到位，管理层对ISMS体系建设和体系运行效果比较满意，认为本单位的信息安全体系基本能够满足ISO27001:2013的要求，希望能够顺利通过外审公司的认证审核。2、与会人员认为本单位ISMS的信息安全方针是充分的、适宜的、有效的，本单位的信息安全管理体系（ISMS）在有效运行、信息安全委员会在信息安全方面的工作是务实而富有成效的，开发部员工和其它部门人员对本单位的信息安全管理体系（ISMS）比较满意，至今未发生针对本单位信息安全的投诉事件、未发生影响本单位ISMS的重大变更。3、本单位的信息安全管理体系（ISMS）在运行中，针对风险评估中的超过本单位可接受标准的风险，本单位已经和正在采取措施进行解决，以降低或减少其风险，本单位目前制订的风险可接受标准是合适的，由信息安全管理委员会负责对本单位的信息安全管理体系控制措施有效性进行了测量，测量结果显示，本单位的信息安全管理体系是有效的。改进的建议1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件的运行效率，通过体系外审视最近的目的。2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。3、进一步完善应急预案编制，加强对威胁的认识，并据此完善调查制度，逐步建设一套完善的应急监测、响应系统。4、进一步加强数据储存管理，不断提高管理的应用的水平，尽快完善同步备份制度或者尽量减少储存的备份时差。5、进一步了解管理部门、社会各界需求及市场的需求，细分这些需求，逐步满足这些需求，增强本公司竞争力。6、日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前有足够的时间准备，降低因忙中出错对信息安全的威胁。7、责成综合管理部，尽快完成支持业务可持续性设备的科学演练。8、加强对纠正预防措施处理意见的学习，上半年派相关人员前往咨询机构做进一步的学习交流，提高本公司纠正预防能力。畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、重点客户的关注程度。9、进一步加强与现有管理体系的融合。管理评审报告发放各部门会议记录编号：会议名称管理评审会议地点会议室主持人记录时间14：00－18：00会议议程安排及内容：（可加附页）评审内容：a）以往管理评审要求采取措