ISO27001：2013信息安全管理体系管理评审.docx

1、2020年度ISO27001:2013信息安全管理体系管理评审资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年月管理评审计划表2关于开展管理评审通知3管理评审输入报告4管理评审会议记录9管理评审报告10管理评审签到表11不符合/潜在不符合及纠正/预防措施表12评审主持人总经理参加人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体评审地点会议室评审时间2020年11月11日评审目的通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。评审类型年度审核评审内容a）以往管理评审提出的措施的状态；（管代）b）与信息

2、安全管理体系相关的外部和内部事项的变化；（管代）c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施；（各部门）2）监视和测量结果；（信息安全管理委员会）3）审核结果；（管代）4）信息安全目的完成情况；（各部门、管代）d）相关方反馈；（业务部）e）风险评估结果及风险处置计划的状态；（信息安全管理委员会）f）持续改进的机会（管代、各部门）评审前期准备工作各部门根据评审内容的准备相应资料，于2020年11月1日前向管理者代表提交评审内容报告。管理评审报告发放日期及范围管理评审报告于评审会议结束后的2日内发出。发至：总经理、管理者代表、信息安全管理委员会、公司各部门编制人:批准人:2

3、020年10月15日2020年10月16日XXX网络科技有限公司文件XX发2020125号关于开展管理评审通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，公司定于2020年11月11日在会议室展开2020年度管理评审，以便及时查找出在管理体系运行中的不符合工作情况。请各部门负责人准备好以下相应的管理评审资料,于2020年11月1日前向管理者代表提交书面报告，本次管理评审参会人员包括:总经理、管理者代表、信息安全管理委员会全体和各部门负责人。本次评审内容：a）以往管理评审提出的措施的状态；（管代）b）与信息安全管理体系相关的外部和内部事项的变化；（管代）c）有关信息安全绩效

4、的反馈，包括以下方面的趋势：1）不符合和纠正措施；（各部门）2）监视和测量结果；（信息安全管理委员会）3）审核结果；（管代）4）信息安全目的完成情况；（管代、各部门）d）相关方反馈；（业务部）e）风险评估结果及风险处置计划的状态；（信息安全管理委员会）f）持续改进的机会（管代、各部门）XXX信息安全有限公司2020年10月20日管理评审输入报告部门综合部编制人部门负责人时间2020.10.27一、综合部信息安全目的实现情况a）审核实施及时率二90%b）员工入职培训完成率=100%c）员工保密协议签订率=100%d）计划培训实施率=100%e）文件有效率=100%f）文件按时发放率=100%根据

5、统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，未有不合格事项。三、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。管理评审输入报告部门业务部编制人部门负责人时间2020.10.27一、业务部信息安全目的实现情况a）客户满意度二90%b）产品退回二0c）投诉二0根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。二、相关方反馈本

6、部门通过发放回收满意度调查表和通过询问相关方，获取相关反馈信息，并对反馈信息进行了分析评价，公司根据反馈信息做出了改进。四、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。管理评审输入报告部门技术部编制人部门负责人时间2020.10.27一、技术部信息安全目的实现情况a）机密信息泄密事件二0次b）大面积感染病毒次数二0次c）成功防范黑客攻击率=100%d）重要信息备份技术率=100%e）计算机故障处理完成率=100%f）产品及时完成率=100%根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审

7、检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。三、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。管理评审输入报告部门信息安全管理委员会编制人会长时间2020.10.27一、信息安全管理委员会信息安全目的实现情况a）不可接受风险处理率二100%根据统计情况，本管理委员会的所有目标均达成，希望在管理委员会人员继续努力下，保证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，无不符合项。三、监视和测量结果针对公司业务软件研发、网站建立等业务，实施监控和测量，对研发、建立、设计过程进行监控，和产品的测试，杜绝出现不合格品和出

8、现信息安全风险。通过对监视和测量结果，分析评价，确保得到合格的产品。四、风险评估结果及风险处置计划的状态公司通过内审、定期和不定期检查和外部检查等检查出风险和潜在风险，通过对风险进行评估分析，确定风险等级和风险责任，根据风险评估报告制定了风险处置计划，根据计划内容已经对风险进行了有效的处理控制。具体查看风险和机遇识别评估处置表五、持续改进的机会加强管理管理评审输入报告编号：JLWJ2020-GP-02编制人管理者代表时间2020.10.27一、公司信息安全目的完成情况a）不可接受风险处理率=100%b）机密信息泄密事件二0次c）重大突发事件二0次d）客户满意度二90%根据统计情况，公司的所有目

9、标均达成，希望在全体人员继续努力下，保证信息安全目标持续实现。二、与信息安全管理体系相关的外部和内部事项的变化公司组织结构、信息安全方针、信息安全目标、主要的管理体系文件（管理手册、程序文件、操作规程等）没有发生变化，外部（法律法规、经济、竞争环境等）未发生较大变化。三、审核结果近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取了加强培训教育的纠正措施，进行了整改。四、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。主持人总经理记录人XXX地点会议室时间2020年11月1日参会人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会

10、全体评审目的通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。会议记录：1. 首先由公司总经理发表讲话，对进行管理评审的目的做出说明。管理评审目的：通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。2. 管理者代表、信息安全委员会会长和部门负责人就评审内容进行汇报。综合部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。业务部：不符合和纠正措施、信息安全目的完成情况、相关方反馈、持续改进的机会。技术部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。信息安全管理委员会：不符合和纠正措施、信息安全目的完成情况、持续改进的机会、监

11、视和测量结果、风险评估结果及风险处置计划的状态。管理者代表：以往管理评审提出的措施的状态、与信息安全管理体系相关的外部和内部事项的变化、审核结果、信息安全目的完成情况、持续改进的机会。3. 参会人员对管理评审汇报的内容和进行了充分的讨论，总经理对各部门负责人和管理者代表提出的改进措施予以支持，提出了不足之处和管理评审输出内容。输出内容：a）持续改进的机会；b）变更信息安全管理体系的任何需求；4. 总经理对此次管理评审做出总结发言，通过管理评审、内部评审等方式来不断完善公司的管理体系，加强管理、加强培训、提高意识、严把质量、提高公司竞争力和客户的满意度，满足顾客和相关方的需求和期望。评审目的通过

12、管理评审，检查公司信息安全管理体系运行情况，验证适宜性、充分性、有效性。评审类型年度审核主持人总经理参加人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、信息安全管理委员会全体时间地点2020年11月1日公司会议室提交管理评审的内容a）以往管理评审提出的措施的状态；（管代）b）与信息安全管理体系相关的外部和内部事项的变化；（管代）c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施；（各部门）2）监视和测量结果；（信息安全管理委员会）3）审核结果；（管代）4）信息安全目的完成情况；（各部门、管代）d）相关方反馈；（业务部）e）风险评估结果及风险处置计划的状态；（

13、信息安全管理委员会）f）持续改进的机会（管代、各部门）评审输出的内容a）持续改进的机会：同意各部门和管理者代表提出的改进措施。b）变更信息安全管理体系的任何需求；公司信息安全管理体系暂无变更，暂无需求。信息安全管理体系总体评价信息安全管理体系持续适宜性：0适宜基本适宜不适宜信息安全管理体系持续充分性：0充分比较充分不充分信息安全管理体系持续有效性：0有效基本有效无效信息安全方针的评价：0适宜基本适宜信息安全目标的评价：0适宜基本适宜纠正及改进措施提高意识，加强培训；管理层高度重视，推动体系有效运行；加强管理的过程控制。跟踪验证事项是否加强培训力度，管理层是否高度重视，是否加强管理过程控制。编制

14、人：批准人: 年 月 日 年 月 日会议地点：会议室会议时、可：2020年11月1日序号人员签到部门/岗位序号人员签到部门/岗位123456789101112131415161718192021222324252627282930313233343536不符合/潜在不符合及纠正/预防措施表GLJL2020-GLPS-06部门日期2020年11月1日不符合/潜在不符合实施描述：口不符合潜在不符合提出人：口监督员内审员其他人员部门负责人：不符合/潜在不符合的来源：口内部质量监督内部自查口内部审核0管理评审外部质量监督外部审核口投诉、申诉其他不符合严重性评价：口轻微口一般严重拟采取措施：仅纠正有后续纠正措施有后续预防措施原因分析：部门负责人： 年 月 日不符合纠正结果：部门负责人： 年 月 日拟定的后续纠正/预防措施：预定完成日期：部门负责人： 年 月 日提出人： 年 月 日跟踪检查确认：完成整改，取得了有效成果。验证人： 年 月 日确认意见：管理者代表： 年 月 日