德信诚培训网
部门管理评审报告
部门 报告人 序号 评审项目 行政部 日期 审批人 评审内容 2017年1月15日 更多免费资料下载请进:http://www.55top.com 好好学习社区
德信诚培训网 对体系运行过程中发现的问题已经进行了报告和整改,并向信息安全管理小组提交了纠正报告单。 1. 信息安全方针和目标是正在实现过程中,方针文件经过评审已经发布。考虑到刚刚实行体系暂不作调整。过去硬件个月中所取得的业绩比较良好,目标经考核基本能实现; 2. 信息安全内外部组织协调顺利,不存在沟通障碍。建立了内外部专家名单和内外部相关组织联系单。安全职责分配到位,且建立了相应的授权机制。目前尚不需要更新,待体系运行一个阶段之后再做调整。内外部员工的保密协议已经签署完毕,第三方的保密合同正在落实完善过程中。 3. 综合管理部的资产管理到位,均有编号,对特别敏感的文件标识出来单独存放在文件柜中。目前所有资产均指定责任人。 4. 人力资源安全目前得到有效保障,对人员的任用之前、任用中、任用后均进行适宜的信息安全考察。员工培训教育在本ISMS审核和评审的结年度进行了硬件次培训,培训结果基本满意。体系组织结构果; 合理,能覆盖全公司各个部门,岗位职责明确,相关书面材料尚在进一步调整过程。 包括会议评审、内审、外审结果及其它形式的5. 物理环境防范措施受条件所限只能满足最低要求,控制还算审核结果; 得当,未出现严重违反公司相关制度情况。 6. 部门内规范了操作流程。对第三方服务的管理意识增强。部门成员认证执行公司规定的网络逻辑控制措施,办公计算机的安全设置强度比以前增强。 7. 对信息的访问控制严格遵守授权审批制度,根据不同的人员岗位制定了不同的权限。 8. 综合管理部积极配合软件技术部进行信息系统的维护工作。 9. 安全事件的汇报机制得到建立,注重日常的监督检查管理。 10. 制定了年度的业务连续性计划,对业务连续性的测试和评审有待继续。 11. 综合管理部注重对ISMS符合性的评价。收集了相关的法律法规和行业规范技术标准。由于体系建立的时间不长,对其符合性的评价需要持续进行,并注重对法律法规收集的更新和评价。 1 更多免费资料下载请进:http://www.55top.com 好好学习社区
德信诚培训网 1. 目前已建立畅通顾客意见的渠道,加强收集顾客意见,增强重点项目、重点客户的意见反馈。 2. 满足相关利益方的要求。信息安全内外部组织协调顺利,不存在沟通障碍。建立了内外部专家名单和内外部相关组织联系单。 3. 安全职责分配到位,且建立了相应的授权机制。目前尚不需要更新,待体系运行一个阶段之后再做调整。 4. 内外部员工的保密协议已经签署完毕,第三方的保密合同正在落实完善过程中。 5. 本部门员工对ISMS的认可程度较高,态度很好。通过信息安全管理体系的建设和实施,员工对公司的安全管理信心上升。 用于改进ISMS执行情况和有效性的技术、产硬品或规程; 件 包括信息安全管理方案的确定、执行等; 预防和纠正措施的状况; 硬包括对内审和日常发现件 的不合格项采取的纠正和预防措施的实施及其有效性的监控结果; 相关方的反馈; 2 包括客户方的意见投诉、供应商及其他相关方的投诉或意见等; 已经按照制定的各种程序文件执行; 1. 针对本次内审发现的问题,制定了详细的纠正和预防措施,经过验证,现在均已得到关闭。 2. 我部门在对体系日常运行中的预防和纠正措施的状况进行严格跟踪,指定责任人和落实日期,验证结果整体良好。 上次风险评估报告、不可接受风险处置计划中提出的薄弱点或威硬以往风险评估没有充分胁得到减缓和消除,现状均能接受。编制了信息安全残余风险确件 强调的脆弱点或威胁; 认报告。 更多免费资料下载请进:http://www.55top.com 好好学习社区
德信诚培训网 1. 综合管理部组织召开内部审核验证公司体系运行的有效性,审核组认为:公司的信息安全管理体系基本符合ISO2硬件001:软件0硬件标准的要求,且运行基本有效。 2. 管理人员和监督人员过去硬件个月中管理与监督的状况基本达到预期要求; 3. 管理体系运行受控 硬有效性测量的结果; 件 a) 最高管理者带动员工对满足顾客和法律法规要求的重要性具有明确的认识,能履行其承诺,管理职责明确,重视并参与对信息安全管理体系的建立、保持和推动持续改进活动。员工能准确答出公司信息安全方针和目标,体现了全员参与。但个别职能部门信息安全活动和人员中有责任不到位的情况。 b) 建立的信息安全方针和信息安全目标适合于组织的特点,在组织内得到沟通和理解,信息安全目标基本有可测量性;但部分信息安全分目标的适宜性需进一步修改,并应对测算方法作进一步改善。 硬以往管理评审的跟踪措件 施; 可能影响ISMS的任何变更; 包括公司组织结构、资源配置发生重大变化、硬信息安全技术发生变体系文件建立开始以来,没有发生体系变更和重大信息安全事件 化、公司的商业目标或故。 商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等; 1. 加强公司上下对控制措施有效性的执行力度的要求。 2. 需要组织更多的安排信息安全相关的培训。 硬改进的建议。 件 3. 需要不断提高员工的信息安全意识。 4. 对关键岗位应进行人才储备,防止因突然离职、请假等突发事件导致的业务中断。 更多免费资料下载请进:http://www.55top.com
好好学习社区
无。本次是第一次做ISO27001管理评审。
德信诚培训网
更多免费资料下载请进:http://www.55top.com 好好学习社区
ISO27001-2013管理评审报告-行政部
