ISO27001體系認(rèn)證JF02管理評審程序

JF02管理評審程序01管理評審計劃.DOC02管理評審?fù)ㄖ獑?doc03管理評審會議簽到表.doc04管理評審會議記錄.doc05信息安全管理體系運(yùn)行情況報告.doc06管理評審報告.DOC編號:

管理評審計劃評審目的：一．對信息安全管理體系的適宜性、充分性和有效性等進(jìn)行評價。二．對是否需要更改企業(yè)的信息安全管理體系質(zhì)量方針和目標(biāo)做出評價。三．對信息安全管理體系的現(xiàn)行狀況和改進(jìn)機(jī)會進(jìn)行評價。四．對申請認(rèn)證審核的可行性提供依據(jù)。評審參加部門、人員：信息安全管理者代表;信息安全小組成員評審時間： 地點(diǎn)：管理評審輸入序號匯報內(nèi)容主要匯報部門1信息安全管理體系方針安全小組2內(nèi)、外部審核結(jié)果和合規(guī)性評價的結(jié)果；安全小組3預(yù)防措施與糾正措施實(shí)施狀況；安全管代4風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；安全管代5有效性測量、考核情況及建議；安全管代6信息安全管理體系變更和改進(jìn)的建議全體各部門需準(zhǔn)備資料（包括口頭發(fā)言和建議：信息安全管理體系運(yùn)行的改進(jìn)建議；本部門相關(guān)的外部反饋意見；本部門改進(jìn)信息安全管理體系績效的技術(shù)、產(chǎn)品和程序；預(yù)防和糾正措施的實(shí)施情況；本部門相關(guān)的有效性測量、考核情況及建議；風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；提供的資源滿足需要的情況；與本部門相關(guān)的其它情況；信息安全管理體系變更和改進(jìn)的建議。編制：信息安全小組審核：批準(zhǔn)：日期：日期：日期：管理評審?fù)ㄖ獑谓?jīng)研究決定，年 月 日，在_ 舉行_ _管理評審會議，望準(zhǔn)時參加！請各部門于會議開始前1天向 信息安全管理組長 提供如下資料和信息：信息安全管理體系運(yùn)行的改進(jìn)建議；本部門相關(guān)的外部反饋意見；本部門改進(jìn)信息安全管理體系績效的技術(shù)、產(chǎn)品和程序；預(yù)防和糾正措施的實(shí)施情況；本部門相關(guān)的有效性測量、考核情況及建議；風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；提供的資源滿足需要的情況；與本部門相關(guān)的其它情況；信息安全管理體系變更和改進(jìn)的建議。年月日管理評審會議簽到表編號： 日期： 年 月 日序號姓名簽到序號姓名簽到1.21.2.22.3.23.4.24.5.25.6.26.7.27.8.28.9.29.10.30.11.31.12.32.13.33.14.34.15.35.16.36.17.37.18.38.19.39.20.40.管理評審會議記錄編號：管理評審時間管理評審地點(diǎn)公司會議室主持人記錄人參加人：會議發(fā)言記錄：ISO27001XX在未來加強(qiáng)正版化軟件的意見，從成本上考慮，建議多考慮開源項(xiàng)目。公司的信息安全獎罰現(xiàn)在還沒有有效地實(shí)施起來，希望在以后真正分解，落實(shí)。機(jī)房的斷電風(fēng)險依然存在，需要考慮添加相應(yīng)設(shè)備。對于我公司的信息安全運(yùn)行無重大事件向信息安全小組表示感謝。對于公司的環(huán)境改造,公司將盡快籌劃,歡迎各部門提出建議。部門：信息安全管理者代表信息安全管理組長日期報告人評審項(xiàng)目評審內(nèi)容（1）信息安全管理方針適用性，目標(biāo)的測量；信息安全管理方針和目標(biāo)測量在本部門有效實(shí)施，符合目前公司的實(shí)際情況。（2）管理體系的審核結(jié)果，包括內(nèi)審、外審結(jié)果及其它形式的審核結(jié)果；無（3）用于改善信息安全管理體系性能和有效性的技術(shù)、產(chǎn)品和程序，包括信息安全管理方案的確定、執(zhí)行等；無（4）改進(jìn)、預(yù)防和糾正措施的狀況，包括對內(nèi)部審核和日常發(fā)現(xiàn)的不合格項(xiàng)采取的糾正和預(yù)防措施的實(shí)施及其有效性的監(jiān)控結(jié)果；目前未發(fā)現(xiàn)糾正預(yù)防工作的失效.（5）以前風(fēng)險評估中沒有充分表達(dá)的威脅和薄弱點(diǎn)，以及風(fēng)險的重新評估；暫無發(fā)現(xiàn).（6）可能影響到信息安全管理體系的變更，包括公司組織結(jié)構(gòu)、資源配置發(fā)生重大變化、信息安全技術(shù)發(fā)生變化、公司的商業(yè)目標(biāo)或商業(yè)運(yùn)作流程發(fā)生變化、信息安全法律、法規(guī)發(fā)生變化、發(fā)生重大信息安全事件等；無（7）改進(jìn)建議。增加員工培訓(xùn);加強(qiáng)正版化建設(shè);改善辦公環(huán)境管理評審報告評審會議時間、地點(diǎn)：公司辦公室評審目的：一．對質(zhì)量管理體系的適宜性、充分性和有效性等進(jìn)行評價。二．對是否需要更改企業(yè)的質(zhì)量管理體系質(zhì)量方針和目標(biāo)做出評價。三．對質(zhì)量管理體系的現(xiàn)行狀況和改進(jìn)機(jī)會進(jìn)行評價。四．對申請認(rèn)證審核的可行性提供依據(jù)參加評審部門、人員：總經(jīng)理;信息安全管理者代表;信息安全小組本次評審輸入信息1信息安全管理體系方針的適宜性、充分性和有效性,目標(biāo)、指標(biāo)的完成情況；2內(nèi)、外部審核結(jié)果和合規(guī)性評價的結(jié)果；4預(yù)防措施與糾正措施實(shí)施狀況；5風(fēng)險評估未考慮的威脅和薄弱點(diǎn)；8可能影響信息安全管理體系的變更的情況9信息安全管理體系變更和改進(jìn)的建議公司安全目標(biāo)落實(shí)、執(zhí)行和實(shí)現(xiàn)情況：部門目 標(biāo) 值考核辦法考核頻次達(dá)成情況生產(chǎn)部197%。以每月生產(chǎn)的合格數(shù)量計以相關(guān)檢驗(yàn)記錄為依據(jù)1次/月達(dá)成2、保密紙丟失不超過1起。以每月成品批數(shù)量計以相關(guān)檢驗(yàn)記錄為依據(jù)達(dá)成3、確保檢測設(shè)備使用在有效期內(nèi)，按時校準(zhǔn)率為100%。依據(jù)檢測儀器臺帳、檢定計劃表及相關(guān)的檢定合格證書1次/半年達(dá)成4、產(chǎn)品按規(guī)定的抽樣規(guī)則檢驗(yàn)，漏檢率為0。依據(jù)相關(guān)檢驗(yàn)記錄1次/月達(dá)成辦公室1、IT設(shè)備大面積病毒爆發(fā)不超過2起。以辦公室收集的數(shù)據(jù)為準(zhǔn)1次/半年達(dá)成2、員工培訓(xùn)合格率達(dá)100%。根據(jù)所制定的培訓(xùn)計劃及考核結(jié)果情況進(jìn)行測量1次/半年達(dá)成財務(wù)室重要設(shè)備盤點(diǎn)范圍達(dá)到100%。以財務(wù)系統(tǒng)中的數(shù)據(jù)為準(zhǔn)1次/年達(dá)成財務(wù)數(shù)據(jù)泄密不超過1起以辦公室收集的數(shù)據(jù)為準(zhǔn)1次/半年達(dá)成體系總體評價：信息安全管理體系持續(xù)適宜性：適宜 □基本適宜 □不適信息安全管理體系持續(xù)充分性：□充分 比較充分 □不充信息安全管理體系持續(xù)有效性：□有效 基本有效 □無效公司安全方針的評價： 適宜 □基本適宜 □不適宜公司安全目標(biāo)的評價： 全部適宜 □基本適宜 □部分