管理评审报告

信息安全管理体系管理评审报告编制：管理运营部批准：2022年11月18日

为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》和2022年管理评审计划的要求，公司在2022年11月18日在公司会议区召开管理评审会议。本次会议由总经理负责主持，公司各部门负责人及代表、内审员参加。本次管理评审的内容包括：1.信息安全管理体系审核和评审的结果；2.相关方的反馈；3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；4.预防和纠正措施的状况；5.风险评估没有充分强调的脆弱性或威胁；6.有效性测量的结果；7.内审不符合项的跟踪验证；8.任何可能影响信息安全管理体系的变更；9.改进的建议；10．体系的有效性及对信息安全策略、方针目标的评审。管理评审会议上，管理者代表以及各部门负责人将信息安全管理体系的建立以及实施情况进行总结，管理层认为公司的信息安全管理体系运行总体上是有效的，但是仍然有进一步改进的余地。管理层就如下方面作出了决定：一、信息安全管理体系审核和评审的结果管理者代表在会上对管理体系的建立和运行情况进行了分析汇报，体系建设和运行情况如下：1．我公司信息安全管理落实了人员组成和职责。2．体系实施前期，管理运营部对公司各部门进行调查，现场了解现有关信息资产状况及风险管理要求，现有的信息安全管理文件及执行情况，收集相关的安全信息，明确信息安全管理体系目前存在的问题和需要改进的方向。4．制订了信息安全管理体系风险评估工作计划，组建了风险评估小组，对公司现行的业务进行系统分析，完成信息安全风险评估报告。5．对存在的风险制订风险处置计划，落实责任人员和完成时间，对风险处理计划的执行情况进行监督检查。6．开展了内审工作，验证体系执行的符合性，并对文件的效性进行验证。在内审后又一次对信息安全管理体系文件进行修改和完善。7．完成残余风险的分析，并由总经理批准接受。其他风险通过有效控制，达到可接受的风险等级。8.针对外部审核中发现的不符合项，已责令相关部门整改，并举一反三，制定纠正和纠正措施。二、相关方的反馈我公司信息系统属内部网络，体系实施以来信息安全管理状况不断完善，未收到内部的有关投诉和上级批评。三、用于改进信息安全管理体系业绩和有效性的技术、产品或程序对于即时通讯软件和人员流动的风险，根据公司目前的规模和状况，识别成高风险，并申请了残余风险，这些风险会随着公司规模的扩大和管理的提升相应减小。对识别的风险通过制订文件、有效设定账号口令、加强培训和管理等控制方法进行有效控制。四、预防和纠正措施的状况公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发现存在问题，并对存在问题的原因进行分析，制订相应的纠正措施，各部门进行有效控制。通过实施验证，发现纠正措施实施有效，对防止问题的再次发生，起到有效预防作用。五、风险评估没有充分强调的脆弱性或威胁随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工信息安全意识的提高，可能会对风险有新的认识或产生新的风险，因此应按规定周期连续进行风险评估。六、有效性测量的结果为完成公司的信息安全目标，公司通过多种渠道进行检测和分析，如制订文件，明确达成目标中所遇到的风险的监控，包括对风险处置计划执行的监测，风险等级的分析检测，网络访问的检查，技术符合性的监测、安全日志审核以及安全事件的监督，对体系运行的管理评审测量表和检查表等。通过各种手段的监测，我公司信息安全达到预定的目标，目前没有发生重大信息安全事件。七、内审不符合项的跟踪验证为验证公司信息安全活动符合性和有效性，组织了信息安全管理体系的内审。本次内审中未发现不符合项。通过内审，对标准以及体系文件进行了再学习，员工对信息安全有了更进一步的理解，执行起来也更为顺畅。通过整改，消除了日常工作中的一些信息安全隐患，规范了我公司的信息安全管理工作。本次内部审核，我们认为公司的信息安全管理体系已经建立并实施，体系运行正常有效。八、任何可能影响信息安全管理体系的变更目前公司的体系运行正常，不存在影响信息安全管理体系的变更。九、评审结论从评审的总体情况分析来看，公司依据GB/T22080-2016/ISO/IEC27001：2013、标准建立的管理体系与公司的实际工作和发展是相适宜的，符合公司的实际，实施的效果也是有效的。信息安全管理体系具有基本的适宜性、充分性和有效性。十、形成决议或措施要求：1）现行实施的信息安全管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。2）本公司各部门和全体人员、外包方都必须按照体系文件的规定，指导、约束自己的行为，履行自己的岗位职责；应注意利用日常点检，不断确定持续改进的措施，实现本公司的信息安全方针和目标。3）本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化，保证信息安全管理体系的有效运行。4）由总经理及时完成本次管理评审报告；管理运营部负责整理本次管理评审记录并归档，同时传递给其他部门，输入下一年度计划。5）管理评审报告分发范围：各部