管理評審報告-2020年ISO27001-信息安全管理體系

信息安全管理體系管理評審報告編制：審核：批準：管理評審計劃編號：計劃評審日期2020.07.09評審地點四樓會議室評審目的：對公司信息安全管理方針和目標的實現(xiàn)情況以及信息安全管理體系的運行狀況進行評審，確定信息安全管理體系是否持續(xù)適宜、充分且有效的滿足《ISO/IEC27001:2013信息安全管理體系要求》以及公司內部信息安全管理體系的要求，評審組織：主持：總經理出席人員：管理者代表、各部門負責人評審內容：a）以往管理評審要求采取措施的狀態(tài)；b）與信息安全管理體系相關的內部和外部問題的變化；c）信息安全績效有關的反饋，包括下列趨勢性信息：1）不符合和糾正措施；2）審核結果；3）信息安全目標完成情況；d）相關方的反饋；e）風險評估結果及風險處置計劃的狀態(tài)；f）持續(xù)改進的機會。評審準備工作要求：預定評審前7天，總經辦負責根據(jù)評審內容要求，組織評審資料的收集。要求公司各部門準備參加評審會議的討論提綱等必要的文件，評審資料由管理者代表確認。編制：批準：日期：信息安全管理評審報告評審目的對公司信息安全管理方針和目標的實現(xiàn)情況以及信息安全管理體系的運行狀況進行評審，確定信息安全管理體系是否持續(xù)適宜、充分且有效的滿足《ISO/IEC27001:2013信息安全管理體系要求》以及公司內部信息安全管理體系的要求，評審范圍與職業(yè)健康安全管理相關的所有過程（活動）評審依據(jù)ISO/IEC27001:2013信息安全管理體系要求；2、管理手冊、程序文件、作業(yè)指導書及相關管理制度；3、與信息安全管理相關的法律法規(guī)要求；4、顧客要求以及其他相關方的要求。評審時間2020年07月09日地點四樓會議室參加人員信息安全管理體系相關的負責人及各部門責任人管理評審報告管理評審報告管理評審報告管理評審報告管理評審報告管理評審輸入：a）以往管理評審要求采取措施的狀態(tài)；b）與信息安全管理體系相關的內部和外部問題的變化；c）信息安全績效有關的反饋，包括下列趨勢性信息：1）不符合和糾正措施；2）審核結果；3）信息安全目標完成情況；d）相關方的反饋；e）風險評估結果及風險處置計劃的狀態(tài)；f）持續(xù)改進的機會。1.0以往管理評審要求采取措施的狀態(tài)在2019年進行的管理評審中，共提出四個改進項目，均得到有效實施和完成，經跟蹤驗證確認符合管理評審時提出的改進要求。管理評審改進項目100%關閉。具體完成情況參見《2019年管理評審糾正和預防措施實施記錄表》。2.0與信息安全管理體系相關的內部和外部問題的變化公司在信息安全管理體系策劃和實施過程中，由行政部定期組織相關部門針對當前可能影響公司信息安全管理體系相關的的內外部問題，包括：國內有關政策、相關的法律法規(guī)，國內總體經濟形勢、關聯(lián)行業(yè)發(fā)展形勢，現(xiàn)有工藝技術，內部人財物技術資金等，運用SWOT分析法進行了分析，確定了我們的優(yōu)勢和短板，找出來可能的機遇，面臨的風險。將有關風險特別是信息安全風險納入管理體系中。體系運行以來，風險基本可控。公司通過管理體系認證后將更好的保護公司以及相關方的信息安全，公司效益也將因此進一步提升。具體分析結果《內外部問題分析報告》。3.0內部審核結果3.1自信息安全管理體系運行以來，管理及監(jiān)督人員開展了有效的工作，監(jiān)督管理工作有明顯成效。3.2在2020年月實施了本年度內審，內審覆蓋了本公司與軟件研發(fā)與技術服務的所有管理活動和技術活動，內審共發(fā)現(xiàn)2個不符合項，這些問題均已得到了糾正；糾正措施執(zhí)行情況良好。3.3采用附錄A中的11類控制方式，130個控制點得到了滿意的結果，存在少量的一些問題（詳見內審報告），也已提交了整改報告。3.4現(xiàn)場記錄填寫的質量存在問題較多，需進一步加強；內審員的監(jiān)督作用需要加強并充分發(fā)揮。3.5員工信息安全意識需要加強、培訓的力度要加大。可預見的，我公司近年工作類型不會發(fā)生重大變化，工作量將會進一步增加。計算機系統(tǒng)的點檢監(jiān)督監(jiān)測頻次可以根據(jù)病毒的爆發(fā)情況及相關法律法規(guī)、戰(zhàn)略目標的調整再次增加；為了進一步加強為客戶的服務，提高自己的競爭能力，對控制措施的考評方法可進一步完善。3.6本公司的信息安全管理體系文件是一套文件化的完整的受控的體系文件；并建立了相應的組織機構、設置了相應的崗位、配備了相應的人員，其機構、崗位和人員的職責明確，配置了相應的檢測設備、軟件、采用符合要求的標準、方法標準、測試軟件、程序和有效服務。由此建立的一個為達到信息安全方針和目標而相互關聯(lián)的要素進行了系統(tǒng)優(yōu)化整合的管理體系，本公司應用軟件開發(fā)的活動是適宜的、充分的和有效的。4.0不符合和糾正措施4.1針對本次內審發(fā)現(xiàn)的問題，制定了詳細的糾正和預防措施，經過驗證，現(xiàn)在均已得到關閉。4.2我部門在對體系日常運行中的預防和糾正措施的狀況進行嚴格跟蹤，指定責任人和落實日期，驗證結果整體良好。如下為公司采取的部分整改措施：4.3已經全部安裝殺毒軟件、病毒庫為最新；4.4所有員工系統(tǒng)補丁打到最新版本；4.5所有員工設置了屏保，屏保設置不超過硬件分鐘；并設置了密碼恢復；4.6所有員工內部系統(tǒng)登錄口令符合安全要求；4.7已執(zhí)行相關的介質管理規(guī)定，非授權禁止帶出設備，重要數(shù)據(jù)加密；4.8制定訪客制度，進行登記；4.9對公司重要服務器進行每周備份異地備份；4.10已經對財務報賬計算機進行了物理隔開。5.0信息安全方針實施及目標完成情況5.1公司自實施信息安全管理體系以來，總經理根據(jù)公司實際情況并結合企業(yè)長期發(fā)展目標制定并批準了信息安全管理方針，方針如下：實施風險管理，確保信息安全，保障業(yè)務可持續(xù)發(fā)展。信息安全方針含義:a.根據(jù)本公司業(yè)務信息安全的特點、法律法規(guī)要求，建立風險評估程序，確定風險接受準則。定期進行風險評估，以識別本公司風險的變化。本公司或環(huán)境發(fā)生重大變化時，隨時評估。應根據(jù)風險評估的結果，采取相應措施，降低風險。b.在日常企業(yè)生產和管理中，對信息安全予以重視，全面識別和分析全部信息資產，系統(tǒng)考慮企業(yè)信息系統(tǒng)薄弱點、可能存在的威脅，考慮成本、利益、風險的綜合平衡，對資產進行分類保護，以適宜的成本達到系統(tǒng)保護的要求。c.建立健全信息安全監(jiān)督和保證體系，明確各級、各崗位的信息安全責任，以人為本，堅持全員、全方位、全過程信息安全管理。通過測量和監(jiān)控，持續(xù)改進，保證信息安全管理體系的有效運行，做到制度執(zhí)行有記錄、記錄記載可追溯，最終保障企業(yè)生產、經營、管理和服務的持續(xù)和安全，實現(xiàn)企業(yè)發(fā)展目標。5.2根據(jù)信息安全管理方針，公司制定了如下信息安全管理目標：1)安全事件發(fā)生次數(shù)：重大安全事件目標值：0次/年；較大安全事件目標值：不大于4次/年；一般安全事件目標值：不大于8次/年。2)信息泄密次數(shù)：保證各種需要保密的資料（包括電子文檔、光盤等）不被泄密，確保秘密、機密信息不泄漏給非授權人員。信息泄密次數(shù)目標值：0次/年。具體目標各部門分解如下：部門部門信息安全目標統(tǒng)計方式監(jiān)測頻率綜合部1、人員招聘手續(xù)辦理完成率100%；2、人員教育或培訓實施率100%；3、人員離職手續(xù)辦理完成率100%；4、辦公環(huán)境消防設施配置率100%；5、辦公環(huán)境消防設施點檢率100%；6、每年至少組織實施完成1次信息安全內審，且資料齊全；7、每年至少組織實施完成1次信息安全管理評審，且資料齊全；8、每年至少進行1次信息安全體系文件評審及更新；9、每年至少組織實施完成1次風險評估。1、查看全部員工入職手續(xù)辦理情況；2、查看培訓計劃及培訓實施情況；3、查看實際人員離職及手續(xù)辦理情況；4、現(xiàn)場檢查辦公環(huán)境消防器材配備情況；5、現(xiàn)場檢查辦公環(huán)境消防器材的檢修情況；7、按照信息安全內審計劃執(zhí)行內審及改進，及時整理信息安全內審資料；8、按照信息安全管理評審計劃執(zhí)行評審及改進，及時整理信息安全管理評審資料；9、每年集中對信息安全管理體系文件進行評審，必要時進行更新；10、每年組織各相關部門進行風險評估回顧、對新增或發(fā)生變化的信息資產進行風險評估。每年研發(fā)部1、網(wǎng)絡非正常中斷每月≤1次。2、主機系統(tǒng)非正常中斷每月≤1次。1、以每月的網(wǎng)絡中斷事件為依據(jù)2、以每月的主機系統(tǒng)中斷事件為依據(jù)每半年其他部門重要文檔及數(shù)據(jù)被正確保管及使用，機密信息泄露次數(shù)為0次每半年檢查一次日常工作文件及數(shù)據(jù)是否被正確保管及使用，以及機密信息泄露相關事件。每年通過分析監(jiān)視和測量結果，公司制定的信息安全方針和目標是有效的，具體監(jiān)視和測量結果見《信息安全目標統(tǒng)計表》。6.0風險評估結果及風險處置計劃的狀態(tài)我司開展的風險評估活動，識別了公司各類信息資產，并進行風險評價。本公司規(guī)定風險評估結果中風險等級≥4定義為不可接受風險，需要對信息資產采取一定控制措施進行處置，本次風險評估識別出高風險，并就高風險資產識別對應的脆弱性和威脅值。具體對其處置見《信息安全不可接受風險處理計劃》。公司組織召開信息安全管理委員會，大會決議接受風險處置后的殘余風險。7.0相關方的反饋7.1目前已建立暢通顧客意見的渠道，加強收集顧客意見，增強重點項目、重點客戶的意見反饋。7.2滿足相關利益方的要求。信息安全內外部組織協(xié)調順利，不存在溝通障礙。建立了內外部專家名單和內外部相關組織聯(lián)系單。7.3安全職責分配到位，且建立了相應的授權機制。目前尚不需要更新，待體系運行一個階段之后再做調整。7.4內外部員工的保密協(xié)議已經簽署完畢，第三方的保密合同正在落實完善過程中。7.5本部門員工對ISMS的認可程度較高，態(tài)度很好。通過信息安全管理體系的建設和實施，員工對公司的安全管理信心上升。8.0持續(xù)改進的機會通過本次評審，公司需在如下方面繼續(xù)進行持續(xù)改進：1、加強公司上下對控制措施有效性的執(zhí)行力度的要求。2、需要組織更多的安排信息安全相關的培訓。3、需要不斷提高員工的信息安全意識。4、對關鍵崗位應進行人才儲備，防止因突然離職、請假等突發(fā)事件導致的業(yè)務中斷。以上四點改進建議，將作為下一次管理評審的輸入。管理評審結論1、本單位經過幾年的ISMS體系建設的積累，人員安全意識大幅提高，本單位的信息安全體系符合度有大幅提升，基本能夠滿足ISO27001：2013標準要求，管理層認為本單位的信息安全工作做得還是比較到位，管理層對ISMS體系建設和體系運行效果比較滿意，認為本單位的信息安全體系基本能夠滿足ISO27001:2013的要求，希望能夠順利通過外審公司的認證審核。2、與會人員認為本單位ISMS的信息安全方針是充分的、適宜的、有效的，本單位的信息安全管理體系（ISMS）在有效運行、信息安全委員會在信息安全方面的工作是務實而富有成效的，開發(fā)部員工和其它部門人員對本單位的信息安全管理體系（ISMS）比較滿意，至今未發(fā)生針對本單位信息安全的投訴事件、未發(fā)生影響本單位ISMS的重大變更。3、本單位的信息安全管理體系（ISMS）在運行中，針對風險評估中的超過本單位可接受標準的風險，本單位已經和正在采取措施進行解決，以降低或減少其風險，本單位目前制訂的風險可接受標準是合適的，由信息安全管理委員會負責對本單位的信息安全管理體系控制措施有效性進行了測量，測量結果顯示，本單位的信息安全管理體系是有效的。改進的建議1、應不斷提高全員的信息安全意識，保證管理體系的有效運行和持續(xù)改進，提高體系文件的運行效率，通過體系外審視最近的目的。2、加強對體系文件的宣貫和學習，講究方式，提高效率；加強對軟件及應用專業(yè)知識和相關法律法規(guī)的學習，確保他們具有與其所承擔任務相適應的工作能力。3、進一步完善應急預案編制，加強對威脅的認識，并據(jù)此完善調查制度，逐步建設一套完善的應急監(jiān)測、響應系統(tǒng)。4、進一步加強數(shù)據(jù)儲存管理，不斷提高管理的應用的水平，盡快完善同步備份制度或者盡量減少儲存的備份時差。5、進一步了解管理部門、社會各界需求及市場的需求，細分這些需求，逐步滿足這些需求，增強本公司競爭力。6、日常監(jiān)測工作的安排要提前，加強計劃性，細化月計劃、周計劃，使各項工作開始之前有足夠的時間準備，降低因忙中出錯對信息安全的威脅。7、責成綜合管理部，盡快完成支持業(yè)務可持續(xù)性設備的科學演練。8、加強對糾正預防措施處理意見的學習，上半年派相關人員前往咨詢機構做進一步的學習交流，提高本公司糾正預防能力。暢通顧客意見的渠道，加強收集顧客意見，增強重點項目、重點客戶的關注程度。9、進一步加強與現(xiàn)有管理體系的融合。管理評審報告發(fā)放各部門會議記錄編號：會議名稱管理評審會議地點會議室主持人記錄時間14：00－18：00會議議程安排及內容：（可加附頁）評審內容：a）以往管理評審要求采取措