信息安全管理体系管理评审报告评审目的。分析2009年度外审前信息安全工作完成情况,评价管理体系的适宜性、充分性、有效性,明确本年度工作目标,提出改进措施、建议,确保信息安全方针、目标的实现和满足法律法规和客户的需求。评审内容:①安全方针和目标是否正在实现,过去4个月中所取得的业绩是否达到、完成或超过安全方针和目标的要求;②管理人员和监督人员过去4个月中管理与监督的状况,是否达到预期要求;③管理体系运行是否受控、是否有效(近期内审结果);④纠正措施和预防措施执行情况如何;⑤听取资源充分性报告;⑥风险评估中提出的薄弱点或威胁;⑦客户反馈意见的汇总分析;⑧员工培训教育情况分析报告;⑨客户投诉及其处理情况汇总;⑩改进的建议;(11)其他日常管理议题。评审组成员:评审意见和结论:1、本公司按照iso27001。2005的要求建立的管理体系全面覆盖了应用软件的开发、系统集成活动和电子验印、票据防伪系统的生产活动;从运行以来,管理体系得到了不断地改进与完善,总体运行情况良好。2、《isms手册》规定的本公司的安全方针、目标,符合准则要求和本公司实际情况,通过努力正在逐步实现。3、《isms手册》中所列的控制项(133项参数或指标)是真实的。与之相关联的机构和岗位设置是合理的,机构及岗位的职责分工明确,切实可行;与之相关联的人力资源和设备资第1页共4页源配置是充分的、合理的;与之相关联的物理环境条件是符合要求的;各个要素、各个程序和各个环节之间的衔接循环是封闭的。4、管理体系运行以来,管理及监督人员开展了有效的工作,监督管理工作有明显成效。上半年共进行了1次内审,内审覆盖了本公司所有管理活动和技术活动,内审共发现9个不符合项,这些问题均已得到了纠正;纠正措施执行情况良好。5、采用附录a中的11类控制方式,其中其中删减了8处,其余125个控制点得到了满意的结果,存在少量的一些问题(详见内审报告),也已提交了整改报告。6、我公司2009年度工作类型不会发生重大变化,工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加;为了进一步加强为客户的服务,提高自己的竞争能力,委托监测软件的测量也可进一步增加7、客户反馈的意见,如对信息安全的信心保证;2008年未接到客户投诉,但通过认证是增加信心的有效手段,顾客意见将得到满足。8、内部控制活动正常,但信息沟通还需进一步通畅,员工自觉学习的氛围还没有形成,培训的方式要不断改进。9、现场记录填写的质量存在问题较多,需进一步加强;内审员的监督作用需要加强并充分发挥。综上所述,本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件;并建立了相应的组织机构、设置了相应的岗位、配备了相应的人员,其机构、岗位和人员的职责明确,配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系,对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。会议作出以下决议:1、现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。2、本公司各部门和全体人员、外包方都必须按照体系文件的规定,指导、约束自己的行为,履行自己的岗位职责;应注第2页共4页意利用日常点检,不断确定持续改进的措施,实现本公司的信息安全方针和目标。3、本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化,保证管理体系的有效运行。4、由总经理及时完成本次管理评审报告;技术服务部负责整理本次管理评审记录并归档,同时传递给其他部门,输入下一年度计划。5、管理评审报告分发范围:各部门负责人和内审员。对今后工作的改进要求:1、应不断提高全员的信息安全意识,保证管理体系的有效运行和持续改进,提高体系文件的运行效率,通过体系外审视最近的目的。2、加强对体系文件的宣贯和学习,讲究方式,提高效率;加强对软件及应用专业知识和相关法律法规的学习,确保他们具有与其所承担任务相适应的工作能力。3、进一步完善应急预案编制,加强对威胁的认识,并据此完善调查制度...
