2024年信息安全管理體系管理評(píng)審報(bào)告

信息安全管理體系管理評(píng)審報(bào)告評(píng)審目的。分析2009年度外審前信息安全工作完成情況，評(píng)價(jià)管理體系的適宜性、充分性、有效性，明確本年度工作目標(biāo)，提出改進(jìn)措施、建議，確保信息安全方針、目標(biāo)的實(shí)現(xiàn)和滿足法律法規(guī)和客戶的需求。

評(píng)審內(nèi)容：①

安全方針和目標(biāo)是否正在實(shí)現(xiàn)，過(guò)去4個(gè)月中所取得的業(yè)績(jī)是否達(dá)到、完成或超過(guò)安全方針和目標(biāo)的要求；

②

管理人員和監(jiān)督人員過(guò)去4個(gè)月中管理與監(jiān)督的狀況，是否達(dá)到預(yù)期要求；

③

管理體系運(yùn)行是否受控、是否有效（近期內(nèi)審結(jié)果）；④

糾正措施和預(yù)防措施執(zhí)行情況如何；⑤

聽(tīng)取資源充分性報(bào)告；⑥

風(fēng)險(xiǎn)評(píng)估中提出的薄弱點(diǎn)或威脅；⑦

客戶反饋意見(jiàn)的匯總分析；⑧

員工培訓(xùn)教育情況分析報(bào)告；⑨

客戶投訴及其處理情況匯總；⑩

改進(jìn)的建議；(11)

其他日常管理議題。

評(píng)審組成員：

評(píng)審意見(jiàn)和結(jié)論：

1、本公司按照iso27001。2005的要求建立的管理體系全面覆蓋了應(yīng)用軟件的開(kāi)發(fā)、系統(tǒng)集成活動(dòng)和電子驗(yàn)印、票據(jù)防偽系統(tǒng)的生產(chǎn)活動(dòng)；從運(yùn)行以來(lái)，管理體系得到了不斷地改進(jìn)與完善，總體運(yùn)行情況良好。

2、《isms手冊(cè)》規(guī)定的本公司的安全方針、目標(biāo)，符合準(zhǔn)則要求和本公司實(shí)際情況，通過(guò)努力正在逐步實(shí)現(xiàn)。

3、《isms手冊(cè)》中所列的控制項(xiàng)（133項(xiàng)參數(shù)或指標(biāo)）是真實(shí)的。與之相關(guān)聯(lián)的機(jī)構(gòu)和崗位設(shè)置是合理的，機(jī)構(gòu)及崗位的職責(zé)分工明確，切實(shí)可行；與之相關(guān)聯(lián)的人力資源和設(shè)備資源配置是充分的、合理的；與之相關(guān)聯(lián)的物理環(huán)境條件是符合要求的；各個(gè)要素、各個(gè)程序和各個(gè)環(huán)節(jié)之間的銜接循環(huán)是封閉的。

4、管理體系運(yùn)行以來(lái)，管理及監(jiān)督人員開(kāi)展了有效的工作，監(jiān)督管理工作有明顯成效。上半年共進(jìn)行了1次內(nèi)審，內(nèi)審覆蓋了本公司所有管理活動(dòng)和技術(shù)活動(dòng)，內(nèi)審共發(fā)現(xiàn)9個(gè)不符合項(xiàng)，這些問(wèn)題均已得到了糾正；糾正措施執(zhí)行情況良好。

5、采用附錄a中的11類控制方式，其中其中刪減了8處，其余125個(gè)控制點(diǎn)得到了滿意的結(jié)果，存在少量的一些問(wèn)題（詳見(jiàn)內(nèi)審報(bào)告），也已提交了整改報(bào)告。

6、我公司2009年度工作類型不會(huì)發(fā)生重大變化，工作量將會(huì)進(jìn)一步增加。計(jì)算機(jī)系統(tǒng)的點(diǎn)檢監(jiān)督監(jiān)測(cè)頻次可以再次增加；為了進(jìn)一步加強(qiáng)為客戶的服務(wù)，提高自己的競(jìng)爭(zhēng)能力，委托監(jiān)測(cè)軟件的測(cè)量也可進(jìn)一步增加

7、客戶反饋的意見(jiàn)，如對(duì)信息安全的信心保證；2008年未接到客戶投訴，但通過(guò)認(rèn)證是增加信心的有效手段，顧客意見(jiàn)將得到滿足。

8、內(nèi)部控制活動(dòng)正常，但信息溝通還需進(jìn)一步通暢，員工自覺(jué)學(xué)習(xí)的氛圍還沒(méi)有形成，培訓(xùn)的方式要不斷改進(jìn)。

9、現(xiàn)場(chǎng)記錄填寫(xiě)的質(zhì)量存在問(wèn)題較多，需進(jìn)一步加強(qiáng)；內(nèi)審員的監(jiān)督作用需要加強(qiáng)并充分發(fā)揮。綜上所述，本公司的信息安全管理體系文件是一套文件化的完整的受控的體系文件；并建立了相應(yīng)的組織機(jī)構(gòu)、設(shè)置了相應(yīng)的崗位、配備了相應(yīng)的人員，其機(jī)構(gòu)、崗位和人員的職責(zé)明確，配置了相應(yīng)的檢測(cè)設(shè)備、軟件、采用符合要求的標(biāo)準(zhǔn)、方法標(biāo)準(zhǔn)、測(cè)試軟件、程序和有效服務(wù)。由此建立的一個(gè)為達(dá)到信息安全方針和目標(biāo)而相互關(guān)聯(lián)的要素進(jìn)行了系統(tǒng)優(yōu)化整合的管理體系，對(duì)本公司開(kāi)展數(shù)據(jù)存儲(chǔ)、培訓(xùn)等活動(dòng)是適宜的、充分的和有效的。會(huì)議作出以下決議：

1、現(xiàn)行實(shí)施的管理體系文件是本公司信息安全管理體系運(yùn)行的唯一的指導(dǎo)性文件。

2、本公司各部門(mén)和全體人員、外包方都必須按照體系文件的規(guī)定，指導(dǎo)、約束自己的行為，履行自己的崗位職責(zé)；應(yīng)注意利用日常點(diǎn)檢，不斷確定持續(xù)改進(jìn)的措施，實(shí)現(xiàn)本公司的信息安全方針和目標(biāo)。

3、本公司總經(jīng)理應(yīng)帶領(lǐng)全體人員積極營(yíng)造創(chuàng)建學(xué)習(xí)型企業(yè)的氛圍和文化，保證管理體系的有效運(yùn)行。

4、由總經(jīng)理及時(shí)完成本次管理評(píng)審報(bào)告；技術(shù)服務(wù)部負(fù)責(zé)整理本次管理評(píng)審記錄并歸檔，同時(shí)傳遞給其他部門(mén)，輸入下一年度計(jì)劃。

5、管理評(píng)審報(bào)告分發(fā)范圍：各部門(mén)負(fù)責(zé)人和內(nèi)審員。對(duì)今后工作的改進(jìn)要求：

1、應(yīng)不斷提高全員的信息安全意識(shí)，保證管理體系的有效運(yùn)行和持續(xù)改進(jìn)，提高體系文件的運(yùn)行效率，通過(guò)體系外審視最近的目的。

2、加強(qiáng)對(duì)體系文件的宣貫和學(xué)習(xí)，講究方式，提高效率；加強(qiáng)對(duì)軟件及應(yīng)用專業(yè)知識(shí)和相關(guān)法律法規(guī)的學(xué)習(xí)，確保他們具有與其所承擔(dān)任務(wù)相適應(yīng)的工作能力。

3、進(jìn)一步完善應(yīng)急預(yù)案編制，加強(qiáng)對(duì)威脅的認(rèn)識(shí)，并據(jù)此完善調(diào)查制度，逐步建設(shè)一套完善的應(yīng)急監(jiān)測(cè)、響應(yīng)系統(tǒng)。

4、進(jìn)一步加強(qiáng)數(shù)據(jù)儲(chǔ)存機(jī)房?jī)?nèi)部管理，不斷提高管理的應(yīng)用的水平，盡快完善同步備份制度活著盡量減少儲(chǔ)存的備份時(shí)差。

5、進(jìn)一步了解管理部門(mén)、社會(huì)各界需求及園區(qū)企業(yè)的需求，細(xì)分這些需求，逐步滿足這些需求，增強(qiáng)本公司競(jìng)爭(zhēng)力。

6、日常監(jiān)測(cè)工作的安排要提前，加強(qiáng)計(jì)劃性，細(xì)化月計(jì)劃、周計(jì)劃，使各項(xiàng)工作開(kāi)始之前有足夠的時(shí)間準(zhǔn)備，降低忙中出錯(cuò)的幾率。

7、責(zé)成網(wǎng)絡(luò)部，盡快完成支持業(yè)務(wù)可持續(xù)性設(shè)備的科學(xué)演練。

8、加強(qiáng)對(duì)糾正預(yù)防措施處理意見(jiàn)的學(xué)習(xí)，上半年派相關(guān)人員前往咨詢機(jī)構(gòu)做進(jìn)一步的學(xué)習(xí)交流，提高本公司糾正預(yù)防能力。暢通顧客意見(jiàn)的渠道，加強(qiáng)收集顧客意見(jiàn)，增強(qiáng)重點(diǎn)項(xiàng)目、重點(diǎn)客戶的關(guān)注程度。

9、上述的輸出，要在下次監(jiān)督審核以前完成，責(zé)成各主管職能部門(mén)經(jīng)理監(jiān)督負(fù)責(zé)。

管理者代表：總經(jīng)理：

日期：

2009年4月1日

內(nèi)容總結(jié)

（1）信息安全管理體系管理評(píng)審報(bào)告

評(píng)審目的