管理評(píng)審報(bào)告ISO27001及ISO20000管理體系

PAGE7PAGE1廣東××科技有限公司管理評(píng)審報(bào)告編制人：沉**批準(zhǔn)人：黃**2019年7月5日為驗(yàn)證公司體系文件的適宜性、充分性和有效性，評(píng)價(jià)和尋求信息安全和服務(wù)管理體系改進(jìn)的機(jī)會(huì)和變更的需要（包括管理方針和管理目標(biāo)），根據(jù)《管理手冊(cè)》和2019年管理評(píng)審計(jì)劃的要求，公司在2019年7月5日下午13點(diǎn)-15點(diǎn)在公司會(huì)議室召開(kāi)2019年管理評(píng)審會(huì)議。本次會(huì)議由管理者代表主持，公司管理委員會(huì)成員、管理者代表、各部門代表、內(nèi)審員參加。本次管理評(píng)審的內(nèi)容包括：信息安全體系以往內(nèi)部審核的結(jié)果；相關(guān)方的反饋；現(xiàn)行信息安全管理體系的整體有效性、適應(yīng)性和充分性。用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序；預(yù)防和糾正措施的狀況；風(fēng)險(xiǎn)評(píng)估沒(méi)有充分強(qiáng)調(diào)的脆弱性或威脅；有效性測(cè)量的結(jié)果；任何可能影響信息安全管理體系的變更；改進(jìn)的建議。服務(wù)管理體系：年度公司服務(wù)體系運(yùn)行情況；客戶滿意度調(diào)查/投訴/服務(wù)質(zhì)量分析報(bào)告；人力資源提供情況分析；預(yù)結(jié)算執(zhí)行情況分析；采購(gòu)及供應(yīng)商管理情況分析；服務(wù)管理體系的方針和目標(biāo)的適宜性和符合性分析；服務(wù)管理體系的持續(xù)改進(jìn)需求。管理評(píng)審會(huì)議上，管理者代表以及各部門負(fù)責(zé)人將信息安全和服務(wù)管理體系的建立以及實(shí)施情況進(jìn)行總結(jié)，并對(duì)下階段工作提出要求。管理評(píng)審內(nèi)容具體如下：一、信息安全和服務(wù)管理體系審核和評(píng)審以及外審的結(jié)果管理者代表在會(huì)上對(duì)管理體系的建立和運(yùn)行情況進(jìn)行了分析：（一）體系建設(shè)和運(yùn)行情況1.我公司自成立管理體系貫標(biāo)領(lǐng)導(dǎo)機(jī)構(gòu)以來(lái)，人員組成和職責(zé)得以實(shí)現(xiàn)。2.貫標(biāo)期間，配合咨詢公司對(duì)我公司進(jìn)行書面調(diào)查，現(xiàn)場(chǎng)了解現(xiàn)有信息資產(chǎn)狀況及風(fēng)險(xiǎn)管理要求，現(xiàn)有的信息安全和服務(wù)管理文件及執(zhí)行情況，收集相關(guān)的信息，明確信息安全和服務(wù)管理體系目前存在的問(wèn)題和需要改進(jìn)的方向。3.公司在貫標(biāo)期間，在參加外部培訓(xùn)的同時(shí)，針對(duì)體系運(yùn)行的不同階段，制定有本公司內(nèi)部培訓(xùn)計(jì)劃，組成本公司管理體系的內(nèi)部專家和內(nèi)部審核員隊(duì)伍，并按計(jì)劃進(jìn)行了內(nèi)審。4.根據(jù)公司體系文件要求，制定了《信息安全風(fēng)險(xiǎn)評(píng)估計(jì)劃》，成立了公司內(nèi)部風(fēng)險(xiǎn)評(píng)估小組，對(duì)公司現(xiàn)行的業(yè)務(wù)進(jìn)行系統(tǒng)分析，并獨(dú)立完成信息安全風(fēng)險(xiǎn)評(píng)估報(bào)告。5.針對(duì)高風(fēng)險(xiǎn)制定的控制措施進(jìn)行了驗(yàn)證。6.完成了體系文件的編寫審核和發(fā)布，形成完善的信息安全和服務(wù)管理體系。7.貫標(biāo)內(nèi)審與管理評(píng)審均能正常開(kāi)展，體系執(zhí)行的符合性得以驗(yàn)證，并對(duì)文件的有效性進(jìn)行驗(yàn)證。根據(jù)標(biāo)準(zhǔn)的要求，建立了公司完整的信息安全和服務(wù)管理體系，確定有效的信息安全和服務(wù)的方針和管理手冊(cè)。8.完成了體系合并后的殘余風(fēng)險(xiǎn)的分析，通過(guò)有效控制，所有風(fēng)險(xiǎn)均得到控制，達(dá)到可接受的風(fēng)險(xiǎn)等級(jí)。9.在貫標(biāo)過(guò)程中，公司通過(guò)會(huì)議等方式進(jìn)行信息溝通交流。（二）內(nèi)部審核的情況為驗(yàn)證公司信息安全和服務(wù)活動(dòng)符合性和有效性，組織了信息安全和服務(wù)管理體系內(nèi)審，也是體系文件發(fā)布后第一次內(nèi)審。內(nèi)審中共發(fā)現(xiàn)1個(gè)不符合項(xiàng)，沒(méi)有發(fā)現(xiàn)嚴(yán)重不符合項(xiàng)存在，一些安全隱患均得以控制和改善。審核發(fā)現(xiàn)問(wèn)題主要有以下幾個(gè)方面：1.信息安全管理意識(shí)仍需加強(qiáng)。2.由于公司在體系運(yùn)行實(shí)施雖有一段時(shí)間，但有關(guān)記錄的填寫仍存在不完善現(xiàn)象。針對(duì)上述問(wèn)題，我們按照“貫標(biāo)是手段、是載體而不是目的，體系文件寫到要做到，做到要有效，有效要檢查，檢查要考核閉環(huán)管理”的要求，一一落實(shí)責(zé)任部門進(jìn)行整改。各單位/部門對(duì)內(nèi)審工作較為重視，部門負(fù)責(zé)人和專職全程參與了內(nèi)審，根據(jù)內(nèi)審報(bào)告制定了糾正計(jì)劃，按照文件要求按時(shí)整改。通過(guò)內(nèi)審，對(duì)標(biāo)準(zhǔn)以及體系文件進(jìn)行了再學(xué)習(xí)，大家對(duì)信息安全和服務(wù)管理有了更進(jìn)一步的理解，執(zhí)行起來(lái)也更為順暢。以往各專業(yè)條款的管理力度較大，橫向的交流相對(duì)欠缺，雖然各有各的特點(diǎn)和長(zhǎng)處，平時(shí)不易接觸和學(xué)習(xí)到，通過(guò)這次貫標(biāo)，進(jìn)行了跨專業(yè)的檢查，也起到了互相學(xué)習(xí)、共同進(jìn)步的效果。通過(guò)實(shí)踐，我們的信息安全和服務(wù)管理體系更加符合我們的實(shí)際工作，運(yùn)行更加有效。本次內(nèi)部審核，我們認(rèn)為公司的信息安全管理體系實(shí)施運(yùn)行基本可行，體系運(yùn)行正常有效。二、相關(guān)方的反饋我公司信息系統(tǒng)，貫標(biāo)以來(lái)信息安全管理狀況不斷完善，未收到內(nèi)部或外部相關(guān)方的有關(guān)投訴和上級(jí)批評(píng)，小問(wèn)題基本能夠在溝通中妥善解決，以達(dá)到相關(guān)方滿意。三、現(xiàn)行信息安全管理體系的整體有效性、適應(yīng)性和充分性就目前看，我公司建立的信息安全管理體系已基本符合標(biāo)準(zhǔn)和公司信息安全方針的要求，并逐步得到有效的運(yùn)行，已在信息安全管理上獲得了較好的作用。我們的信息安全管理體系雖已步入正常運(yùn)行，但舊的思維方式和工作方法還沒(méi)有完全改觀，不熟悉體系文件，執(zhí)行不到位的現(xiàn)象還客觀存在，少部分人員的信息安全意識(shí)還有待加強(qiáng)。四、用于改進(jìn)信息安全管理體系業(yè)績(jī)和有效性的技術(shù)、產(chǎn)品或程序通過(guò)資產(chǎn)識(shí)別和風(fēng)險(xiǎn)評(píng)估來(lái)建立新的信息安全管理體系文件，資產(chǎn)識(shí)別共涉及到管理層、行政中心、研發(fā)中心、工程中心、經(jīng)營(yíng)管理中心；對(duì)識(shí)別的公司信息資產(chǎn)進(jìn)行評(píng)價(jià)，評(píng)估出重要信息資產(chǎn)，并給重要資產(chǎn)進(jìn)行風(fēng)險(xiǎn)賦值。經(jīng)本次風(fēng)險(xiǎn)評(píng)估發(fā)現(xiàn)，本公司的主要信息資產(chǎn)仍為信息系統(tǒng)軟件開(kāi)發(fā)數(shù)據(jù)、涉密文檔資料；主要風(fēng)險(xiǎn)前期運(yùn)行中已得以有效控制，當(dāng)前風(fēng)險(xiǎn)仍涉及信息系統(tǒng)安全管理方面、涉密文檔管理方面。五、預(yù)防和糾正措施的狀況公司通過(guò)各種手段對(duì)存在的問(wèn)題進(jìn)行改正。體系運(yùn)行中，公司通過(guò)內(nèi)部審核發(fā)現(xiàn)存在問(wèn)題，并對(duì)存在問(wèn)題的原因進(jìn)行分析，制定相應(yīng)的糾正措施，各部門進(jìn)行有效控制。通過(guò)實(shí)施驗(yàn)證，發(fā)現(xiàn)糾正措施實(shí)施有效，對(duì)防止問(wèn)題的再次發(fā)生，起到有效預(yù)防作用。六、風(fēng)險(xiǎn)評(píng)估產(chǎn)生充分強(qiáng)調(diào)的脆弱性或威脅隨著新的應(yīng)用系統(tǒng)的不斷投入使用，信息化程度越來(lái)越高，以及員工信息安全意識(shí)的提高，對(duì)風(fēng)險(xiǎn)有了新的認(rèn)識(shí)或產(chǎn)生新的風(fēng)險(xiǎn)，因此，應(yīng)按規(guī)定周期連續(xù)進(jìn)行風(fēng)險(xiǎn)評(píng)估。七、有效性測(cè)量的結(jié)果我公司信息安全的目標(biāo)為重大信息安全事件（事故）為零。為完成公司的信息安全目標(biāo)，公司通過(guò)多種渠道進(jìn)行檢測(cè)和分析，如制定文件，明確達(dá)成目標(biāo)中所遇到的風(fēng)險(xiǎn)的監(jiān)控，包括對(duì)風(fēng)險(xiǎn)處理計(jì)劃執(zhí)行的監(jiān)測(cè)，風(fēng)險(xiǎn)等級(jí)的分析檢測(cè)，網(wǎng)絡(luò)訪問(wèn)的檢查，技術(shù)符合性的監(jiān)測(cè)以及安全日志審核以及安全事件的監(jiān)督等。通過(guò)各種手段的監(jiān)測(cè)，我公司信息安全達(dá)到規(guī)定的目標(biāo)，目前沒(méi)有發(fā)生重大信息安全事件，事故為0。八、任何可能影響信息安全管理體系的變更目前公司的體系運(yùn)行正常，尚無(wú)重大變更。九、改進(jìn)的建議我公司的信息安全貫標(biāo)工作，是由各部門積極投入到貫標(biāo)工作中來(lái)，項(xiàng)目進(jìn)度控制合理，總體來(lái)說(shuō)實(shí)施質(zhì)量較好，發(fā)現(xiàn)并處理了一批隱藏較深的重大隱患，建立了系統(tǒng)化的信息安全管理控制體系，大大提高了信息安全風(fēng)險(xiǎn)的掌控能力。在看到成績(jī)的同時(shí)，我們也應(yīng)看到信息安全貫標(biāo)工作的復(fù)雜性。1、應(yīng)不斷提高全員的信息安全意識(shí)，保證管理體系的有效運(yùn)行和持續(xù)改進(jìn)，提高體系文件的運(yùn)行效率，通過(guò)體系外審視最近的目的。2、加強(qiáng)對(duì)體系文件的宣貫和學(xué)習(xí)，講究方式，提高效率；加強(qiáng)對(duì)軟件及應(yīng)用專業(yè)知識(shí)和相關(guān)法律法規(guī)的學(xué)習(xí)，確保他們具有與其所承擔(dān)任務(wù)相適應(yīng)的工作能力。3、加強(qiáng)對(duì)變更后威脅的認(rèn)識(shí)，并據(jù)此完善調(diào)查制度，逐步建設(shè)一套完善的應(yīng)急監(jiān)測(cè)、響應(yīng)系統(tǒng)。4、進(jìn)一步加強(qiáng)數(shù)據(jù)儲(chǔ)存機(jī)房?jī)?nèi)部管理，不斷提高管理的應(yīng)用的水平，盡快完善同步備份制度，盡量減少儲(chǔ)存的備份時(shí)差。5、進(jìn)一步了解管理部門、社會(huì)各界需求業(yè)的需求，細(xì)分這些需求，逐步滿足這些需求，增強(qiáng)本公司競(jìng)爭(zhēng)力。6、日常監(jiān)測(cè)工作的安排要提前，加強(qiáng)計(jì)劃性，細(xì)化月計(jì)劃、周計(jì)劃，使各項(xiàng)工作開(kāi)始之前有足夠的時(shí)間準(zhǔn)備，降低忙中出錯(cuò)的幾率。十、服務(wù)管理體系運(yùn)行總結(jié)2019年公司IT服務(wù)管理體系運(yùn)行情況、顧客滿意度測(cè)評(píng)、供應(yīng)商管理及客戶服務(wù)實(shí)施情況總結(jié)。2019年度管理評(píng)審會(huì)議采取專題會(huì)議的形式進(jìn)行針對(duì)性的討論、研究和部署。截至2019年7月底，公司先后在專題會(huì)議上，對(duì)以上四個(gè)方面的運(yùn)行情況進(jìn)行了分析、評(píng)議。公司認(rèn)為：1、公司現(xiàn)針對(duì)目前業(yè)務(wù)運(yùn)行情況，對(duì)過(guò)程體系進(jìn)行了整合，流程的運(yùn)作效率提高了很多。2、在顧客滿意度方面，各項(xiàng)分值指標(biāo)穩(wěn)定，表明顧客對(duì)我公司提供服務(wù)持續(xù)保持較高的滿意度和重程度。3、在供應(yīng)商管理方面，公司本年度新增了一些新的供應(yīng)商，通過(guò)與供應(yīng)商的良好合作、有效管理，為項(xiàng)目的順利實(shí)施提供了有利保障。4、服務(wù)目標(biāo)評(píng)審目標(biāo)內(nèi)容安全指標(biāo)數(shù)據(jù)來(lái)源測(cè)量結(jié)果是否達(dá)標(biāo)客戶回訪滿意率>=90%滿意度調(diào)查92.5%達(dá)標(biāo)事