1、2020年度ISO27001:2013信息安全管理体系管理评审资料汇编编制:XXX审核:XXX批准:XXXXXX网络科技有限公司2020年月管理评审计划表2关于开展管理评审通知3管理评审输入报告4管理评审会议记录9管理评审报告10管理评审签到表11不符合/潜在不符合及纠正/预防措施表12评审主持人总经理参加人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体评审地点会议室评审时间2020年11月11日评审目的通过管理评审,检查公司信息安全管理体系运行情况,验证适宜性、充分性、有效性。评审类型年度审核评审内容a)以往管理评审提出的措施的状态;(管代)b)与信息
2、安全管理体系相关的外部和内部事项的变化;(管代)c)有关信息安全绩效的反馈,包括以下方面的趋势:1)不符合和纠正措施;(各部门)2)监视和测量结果;(信息安全管理委员会)3)审核结果;(管代)4)信息安全目的完成情况;(各部门、管代)d)相关方反馈;(业务部)e)风险评估结果及风险处置计划的状态;(信息安全管理委员会)f)持续改进的机会(管代、各部门)评审前期准备工作各部门根据评审内容的准备相应资料,于2020年11月1日前向管理者代表提交评审内容报告。管理评审报告发放日期及范围管理评审报告于评审会议结束后的2日内发出。发至:总经理、管理者代表、信息安全管理委员会、公司各部门编制人:批准人:2
3、020年10月15日2020年10月16日XXX网络科技有限公司文件XX发2020125号关于开展管理评审通知公司各部门:为确保本公司建立的信息安全管理体系能够持续有效的运行,公司定于2020年11月11日在会议室展开2020年度管理评审,以便及时查找出在管理体系运行中的不符合工作情况。请各部门负责人准备好以下相应的管理评审资料,于2020年11月1日前向管理者代表提交书面报告,本次管理评审参会人员包括:总经理、管理者代表、信息安全管理委员会全体和各部门负责人。本次评审内容:a)以往管理评审提出的措施的状态;(管代)b)与信息安全管理体系相关的外部和内部事项的变化;(管代)c)有关信息安全绩效
4、的反馈,包括以下方面的趋势:1)不符合和纠正措施;(各部门)2)监视和测量结果;(信息安全管理委员会)3)审核结果;(管代)4)信息安全目的完成情况;(管代、各部门)d)相关方反馈;(业务部)e)风险评估结果及风险处置计划的状态;(信息安全管理委员会)f)持续改进的机会(管代、各部门)XXX信息安全有限公司2020年10月20日管理评审输入报告部门综合部编制人部门负责人时间2020.10.27一、综合部信息安全目的实现情况a)审核实施及时率二90%b)员工入职培训完成率=100%c)员工保密协议签订率=100%d)计划培训实施率=100%e)文件有效率=100%f)文件按时发放率=100%根据
5、统计情况,本部门的所有目标均达成,希望在部门人员继续努力下,保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中,未有不合格事项。三、持续改进的机会加强培训、加强管理。提高工作人员能力,增强员工意识。管理评审输入报告部门业务部编制人部门负责人时间2020.10.27一、业务部信息安全目的实现情况a)客户满意度二90%b)产品退回二0c)投诉二0根据统计情况,本部门的所有目标均达成,希望在部门人员继续努力下,保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中,在内审中出现1项不符合项,部门采取了加强培训教育的纠正措施,进行了整改。二、相关方反馈本
6、部门通过发放回收满意度调查表和通过询问相关方,获取相关反馈信息,并对反馈信息进行了分析评价,公司根据反馈信息做出了改进。四、持续改进的机会加强培训、加强管理。提高工作人员能力,增强员工意识。管理评审输入报告部门技术部编制人部门负责人时间2020.10.27一、技术部信息安全目的实现情况a)机密信息泄密事件二0次b)大面积感染病毒次数二0次c)成功防范黑客攻击率=100%d)重要信息备份技术率=100%e)计算机故障处理完成率=100%f)产品及时完成率=100%根据统计情况,本部门的所有目标均达成,希望在部门人员继续努力下,保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审
7、检查中,在内审中出现1项不符合项,部门采取了加强培训教育的纠正措施,进行了整改。三、持续改进的机会加强培训、加强管理。提高工作人员能力,增强员工意识。管理评审输入报告部门信息安全管理委员会编制人会长时间2020.10.27一、信息安全管理委员会信息安全目的实现情况a)不可接受风险处理率二100%根据统计情况,本管理委员会的所有目标均达成,希望在管理委员会人员继续努力下,保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中,无不符合项。三、监视和测量结果针对公司业务软件研发、网站建立等业务,实施监控和测量,对研发、建立、设计过程进行监控,和产品的测试,杜绝出现不合格品和出
8、现信息安全风险。通过对监视和测量结果,分析评价,确保得到合格的产品。四、风险评估结果及风险处置计划的状态公司通过内审、定期和不定期检查和外部检查等检查出风险和潜在风险,通过对风险进行评估分析,确定风险等级和风险责任,根据风险评估报告制定了风险处置计划,根据计划内容已经对风险进行了有效的处理控制。具体查看风险和机遇识别评估处置表五、持续改进的机会加强管理管理评审输入报告编号:JLWJ2020-GP-02编制人管理者代表时间2020.10.27一、公司信息安全目的完成情况a)不可接受风险处理率=100%b)机密信息泄密事件二0次c)重大突发事件二0次d)客户满意度二90%根据统计情况,公司的所有目
9、标均达成,希望在全体人员继续努力下,保证信息安全目标持续实现。二、与信息安全管理体系相关的外部和内部事项的变化公司组织结构、信息安全方针、信息安全目标、主要的管理体系文件(管理手册、程序文件、操作规程等)没有发生变化,外部(法律法规、经济、竞争环境等)未发生较大变化。三、审核结果近1年内部审核和其他评审检查中,在内审中出现1项不符合项,部门采取了加强培训教育的纠正措施,进行了整改。四、持续改进的机会加强培训、加强管理。提高工作人员能力,增强员工意识。主持人总经理记录人XXX地点会议室时间2020年11月1日参会人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会
10、全体评审目的通过管理评审,检查公司信息安全管理体系运行情况,验证适宜性、充分性、有效性。会议记录:1. 首先由公司总经理发表讲话,对进行管理评审的目的做出说明。管理评审目的:通过管理评审,检查公司信息安全管理体系运行情况,验证适宜性、充分性、有效性。2. 管理者代表、信息安全委员会会长和部门负责人就评审内容进行汇报。综合部:不符合和纠正措施、信息安全目的完成情况、持续改进的机会。业务部:不符合和纠正措施、信息安全目的完成情况、相关方反馈、持续改进的机会。技术部:不符合和纠正措施、信息安全目的完成情况、持续改进的机会。信息安全管理委员会:不符合和纠正措施、信息安全目的完成情况、持续改进的机会、监
11、视和测量结果、风险评估结果及风险处置计划的状态。管理者代表:以往管理评审提出的措施的状态、与信息安全管理体系相关的外部和内部事项的变化、审核结果、信息安全目的完成情况、持续改进的机会。3. 参会人员对管理评审汇报的内容和进行了充分的讨论,总经理对各部门负责人和管理者代表提出的改进措施予以支持,提出了不足之处和管理评审输出内容。输出内容:a)持续改进的机会;b)变更信息安全管理体系的任何需求;4. 总经理对此次管理评审做出总结发言,通过管理评审、内部评审等方式来不断完善公司的管理体系,加强管理、加强培训、提高意识、严把质量、提高公司竞争力和客户的满意度,满足顾客和相关方的需求和期望。评审目的通过
12、管理评审,检查公司信息安全管理体系运行情况,验证适宜性、充分性、有效性。评审类型年度审核主持人总经理参加人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体时间地点2020年11月1日公司会议室提交管理评审的内容a)以往管理评审提出的措施的状态;(管代)b)与信息安全管理体系相关的外部和内部事项的变化;(管代)c)有关信息安全绩效的反馈,包括以下方面的趋势:1)不符合和纠正措施;(各部门)2)监视和测量结果;(信息安全管理委员会)3)审核结果;(管代)4)信息安全目的完成情况;(各部门、管代)d)相关方反馈;(业务部)e)风险评估结果及风险处置计划的状态;(
13、信息安全管理委员会)f)持续改进的机会(管代、各部门)评审输出的内容a)持续改进的机会:同意各部门和管理者代表提出的改进措施。b)变更信息安全管理体系的任何需求;公司信息安全管理体系暂无变更,暂无需求。信息安全管理体系总体评价信息安全管理体系持续适宜性:0适宜基本适宜不适宜信息安全管理体系持续充分性:0充分比较充分不充分信息安全管理体系持续有效性:0有效基本有效无效信息安全方针的评价:0适宜基本适宜信息安全目标的评价:0适宜基本适宜纠正及改进措施提高意识,加强培训;管理层高度重视,推动体系有效运行;加强管理的过程控制。跟踪验证事项是否加强培训力度,管理层是否高度重视,是否加强管理过程控制。编制
14、人:批准人: 年 月 日 年 月 日会议地点:会议室会议时、可:2020年11月1日序号人员签到部门/岗位序号人员签到部门/岗位123456789101112131415161718192021222324252627282930313233343536不符合/潜在不符合及纠正/预防措施表GLJL2020-GLPS-06部门日期2020年11月1日不符合/潜在不符合实施描述:口不符合潜在不符合提出人:口监督员内审员其他人员部门负责人:不符合/潜在不符合的来源:口内部质量监督内部自查口内部审核0管理评审外部质量监督外部审核口投诉、申诉其他不符合严重性评价:口轻微口一般严重拟采取措施:仅纠正有后续纠正措施有后续预防措施原因分析:部门负责人: 年 月 日不符合纠正结果:部门负责人: 年 月 日拟定的后续纠正/预防措施:预定完成日期:部门负责人: 年 月 日提出人: 年 月 日跟踪检查确认:完成整改,取得了有效成果。验证人: 年 月 日确认意见:管理者代表: 年 月 日