ISO27001：2013信息安全管理体系管理评审.docx

2020年度ISO27001:2013信息安全 管理体系管理评审资料汇编 编制：XXX 审核：XXX 批准：XXX XXX网络科技有限公司 2020年月 管理评审计划表 2 关于开展管理评审通知 3 管理评审输入报告 4 管理评审会议记录 9 管理评审报告 10 管理评审签到表 11 不符合/潜在不符合及纠正/预防措施表 12 评审主持人 总经理 参加人员 总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体 评审地点 会议室 评审时间 2020年11月11日 评审目的 通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。 评审类型 年度审核 评审内容 a） 以往管理评审提出的措施的状态；（管代） b） 与信息安全管理体系相关的外部和内部事项的变化；（管代） c） 有关信息安全绩效的反馈，包括以下方面的趋势： 1） 不符合和纠正措施；（各部门） 2） 监视和测量结果；（信息安全管理委员会） 3） 审核结果；（管代） 4） 信息安全目的完成情况；（各部门、管代） d） 相关方反馈；（业务部） e） 风险评估结果及风险处置计划的状态；（信息安全管理委员会） f） 持续改进的机会（管代、各部门） 评审前期准备工作 各部门根据评审内容的准备相应资料，于2020年11月1日前向管理者代表提交评审内容报告。 管理评审报 告发放日期 及范围 管理评审报告于评审会议结束后的2日内发出。 发至：总经理、管理者代表、信息安全管理委员会、公司各部门 编制人: 批准人: 2020年10月15日 2020年10月16日 XXX网络科技有限公司文件 XX发［2020125号 关于开展管理评审通知 公司各部门： 为确保本公司建立的信息安全管理体系能够持续有效的运行，公司定于2020年11月11日在会议室展开2020年度管理评审，以便及时查找出在管理体系运行中的不符合工作情况。请各部门负责人准备好以下相应的管理评审资料,于2020年11月1日前向管理者代表提交书面报告，本次管理评审参会人员包括:总经理、管理者代表、信息安全管理委员会全体和各部门负责人。 本次评审内容： a） 以往管理评审提出的措施的状态；（管代） b） 与信息安全管理体系相关的外部和内部事项的变化；（管代） c） 有关信息安全绩效的反馈，包括以下方面的趋势： 1） 不符合和纠正措施；（各部门） 2） 监视和测量结果；（信息安全管理委员会） 3） 审核结果；（管代） 4） 信息安全目的完成情况；（管代、各部门） d） 相关方反馈；（业务部） e） 风险评估结果及风险处置计划的状态；（信息安全管理委员会） f） 持续改进的机会（管代、各部门） XXX信息安全有限公司 2020年10月20日 管理评审输入报告 部门 综合部 编制人 部门负责人 时间 2020.10.27 一、 综合部信息安全目的实现情况 a） 审核实施及时率二90% b） 员工入职培训完成率=100% c） 员工保密协议签订率=100% d） 计划培训实施率=100% e） 文件有效率=100% f） 文件按时发放率=100% 根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。 二、 不合格及纠正措施 近1年内部审核和其他评审检查中，未有不合格事项。 三、 持续改进的机会 加强培训、加强管理。提高工作人员能力，增强员工意识。 管理评审输入报告 部门 业务部 编制人 部门负责人 时间 2020.10.27 一、业务部信息安全目的实现情况 a） 客户满意度二90% b） 产品退回二0 c） 投诉二0 根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。 二、不合格及纠正措施 近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。 二、相关方反馈 本部门通过发放回收满意度调查表和通过询问相关方，获取相关反馈信息，并对反馈信息进行了分析评价，公司根据反馈信息做出了改进。 四、持续改进的机会 加强培训、加强管理。提高工作人员能力，增强员工意识。 管理评审输入报告 部门 技术部 编制人 部门负责人 时间 2020.10.27 一、 技术部信息安全目的实现情况 a） 机密信息泄密事件二0次 b） 大面积感染病毒次数二0次 c） 成功防范黑客攻击率=100% d） 重要信息备份技术率=100% e） 计算机故障处理完成率=100% f） 产品及时完成率=100% 根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。 二、 不合格及纠正措施 近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。 三、 持续改进的机会 加强培训、加强管理。提高工作人员能力，增强员工意识。 管理评审输入报告 部门 信息安全管理委员会 编制人 会长 时间 2020.10.27 一、信息安全管理委员会信息安全目的实现情况 a）不可接受风险处理率二100% 根据统计情况，本管理委员会的所有目标均达成，希望在管理委员会人员继续努力下，保证信息安全目标持续实现。 二、 不合格及纠正措施 近1年内部审核和其他评审检查中，无不符合项。 三、 监视和测量结果 针对公司业务软件研发、网站建立等业务，实施监控和测量，对研发、建立、设计过程进行监控，和产品的测试，杜绝出现不合格品和出现信息安全风险。通过对监视和测量结果，分析评价，确保得到合格的产品。 四、 风险评估结果及风险处置计划的状态 公司通过内审、定期和不定期检查和外部检查等检查出风险和潜在风险，通过对风险进行评估分析，确定风险等级和风险责任，根据风险评估报告制定了风险处置计划，根据计划内容已经对风险进行了有效的处理控制。具体查看《风险和机遇识别评估处置表》 五、 持续改进的机会 加强管理 管理评审输入报告 编号：JLWJ2020-GP-02 编制人 管理者代表 时间 2020.10.27 一、 公司信息安全目的完成情况 a） 不可接受风险处理率=100% b） 机密信息泄密事件二0次 c） 重大突发事件二0次 d） 客户满意度二90% 根据统计情况，公司的所有目标均达成，希望在全体人员继续努力下，保证信息安全目标持续实现。 二、 与信息安全管理体系相关的外部和内部事项的变化 公司组织结构、信息安全方针、信息安全目标、主要的管理体系文件（管理手册、程序文件、操作规程等）没有发生变化，外部（法律法规、经济、竞争环境等）未发生较大变化。 三、 审核结果 近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。 四、 持续改进的机会 加强培训、加强管理。提高工作人员能力，增强员工意识。 主持人 总经理 记录人 XXX 地点 会议室 时间 2020年11月1日 参会人员 总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体 评审目的 通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。 会议记录： 1. 首先由公司总经理发表讲话，对进行管理评审的目的做出说明。 管理评审目的：通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。 2. 管理者代表、信息安全委员会会长和部门负责人就评审内容进行汇报。 综合部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。 业务部：不符合和纠正措施、信息安全目的完成情况、相关方反馈、持续改进的机会。 技术部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。 信息安全管理委员会：不符合和纠正措施、信息安全目的完成情况、持续改进的机会、监视和测量结果、风险评估结果及风险处置计划的状态。 管理者代表：以往管理评审提出的措施的状态、与信息安全管理体系相关的外部和内部事项的变化、审核结果、信息安全目的完成情况、持续改进的机会。 3. 参会人员对管理评审汇报的内容和进行了充分的讨论，总经理对各部门负责人和管理者代表提出的改进措施予以支持，提出了不足之处和管理评审输出内容。输出内容： a） 持续改进的机会； b） 变更信息安全管理体系的任何需求； 4. 总经理对此次管理评审做出总结发言，通过管理评审、内部评审等方式来不断完善公司的管理体系，加强管理、加强培训、提高意识、严把质量、提高公司竞争力和客户的满意度，满足顾客和相关方的需求和期望。 评审目的 通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。 评审类型 年度审核 主持人 总经理 参加人员 总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体 时间地点 2020年11月1日公司会议室 提交管理评 审的内容 a） 以往管理评审提出的措施的状态；（管代） b） 与信息安全管理体系相关的外部和内部事项的变化；（管代） c） 有关信息安全绩效的反馈，包括以下方面的趋势： 1） 不符合和纠正措施；（各部门） 2） 监视和测量结果；（信息安全管理委员会） 3） 审核结果；（管代） 4） 信息安全目的完成情况；（各部门、管代） d） 相关方反馈；（业务部） e） 风险评估结果及风险处置计划的状态；（信息安全管理委员会） f） 持续改进的机会（管代、各部门） 评审输出的 内容 a） 持续改进的机会： 同意各部门和管理者代表提出的改进措施。 b） 变更信息安全管理体系的任何需求； 公司信息安全管理体系暂无变更，暂无需求。 信息安全管 理体系总体 评价 信息安全管理体系持续适宜性：0适宜□基本适宜□不适宜信息安全管理体系持续充分性：0充分□比较充分□不充分信息安全管理体系持续有效性：0有效□基本有效□无效信息安全方针的评价： 0适宜□基本适宜 信息安全目标的评价： 0适宜□基本适宜 纠正及改进措施 提高意识，加强培训；管理层高度重视，推动体系有效运行；加强管理的过程控制。 跟踪验证事项 是否加强培训力度，管理层是否高度重视，是否加强管理过程控制。 编制人： 批准人: 年 月 日 年 月 日 会议地点：会议室 会议时、可：2020年11月1日 序号 人员签到 部门/岗位 序号 人员签到 部门/岗位 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 不符合/潜在不符合及纠正/预防措施表 GLJL2020-GLPS-06 部门 日期2020年11月1日 不符合/潜在不符合实施描述： 口不符合 □潜在不符合 提出人：口监督员内审员□其他人员 部门负责人： 不符合/潜在不符合的来源： 口内部质量监督 □内部自查 口内部审核 0管理评审 □外部质量监督 □外部审核 口投诉、申诉 □其他 不符合严重性评价：口轻微口一般□严重 拟采取措施：□仅纠正□有后续纠正措施□有后续预防措施 原因分析： 部门负责人： 年 月 日 不符合纠正结果： 部门负责人： 年 月 日 拟定的后续纠正/预防措施： 预定完成日期： 部门负责人： 年 月 日 提出人： 年 月 日 跟踪检查确认： 完成整改，取得了有效成果。 验证人： 年 月 日 确认意见： 管理者代表： 年 月 日