ISO27001体系认证JF02管理评审程序

JF02管理评审程序01管理评审计划.DOC02管理评审通知单.doc03管理评审会议签到表.doc04管理评审会议记录.doc05信息安全管理体系运行情况报告.doc06管理评审报告.DOC编号:

管理评审计划评审目的：一．对信息安全管理体系的适宜性、充分性和有效性等进行评价。二．对是否需要更改企业的信息安全管理体系质量方针和目标做出评价。三．对信息安全管理体系的现行状况和改进机会进行评价。四．对申请认证审核的可行性提供依据。评审参加部门、人员：信息安全管理者代表;信息安全小组成员评审时间： 地点：管理评审输入序号汇报内容主要汇报部门1信息安全管理体系方针安全小组2内、外部审核结果和合规性评价的结果；安全小组3预防措施与纠正措施实施状况；安全管代4风险评估未考虑的威胁和薄弱点；安全管代5有效性测量、考核情况及建议；安全管代6信息安全管理体系变更和改进的建议全体各部门需准备资料（包括口头发言和建议：信息安全管理体系运行的改进建议；本部门相关的外部反馈意见；本部门改进信息安全管理体系绩效的技术、产品和程序；预防和纠正措施的实施情况；本部门相关的有效性测量、考核情况及建议；风险评估未考虑的威胁和薄弱点；提供的资源满足需要的情况；与本部门相关的其它情况；信息安全管理体系变更和改进的建议。编制：信息安全小组审核：批准：日期：日期：日期：管理评审通知单经研究决定，年 月 日，在_ 举行_ _管理评审会议，望准时参加！请各部门于会议开始前1天向 信息安全管理组长 提供如下资料和信息：信息安全管理体系运行的改进建议；本部门相关的外部反馈意见；本部门改进信息安全管理体系绩效的技术、产品和程序；预防和纠正措施的实施情况；本部门相关的有效性测量、考核情况及建议；风险评估未考虑的威胁和薄弱点；提供的资源满足需要的情况；与本部门相关的其它情况；信息安全管理体系变更和改进的建议。年月日管理评审会议签到表编号： 日期： 年 月 日序号姓名签到序号姓名签到1.21.2.22.3.23.4.24.5.25.6.26.7.27.8.28.9.29.10.30.11.31.12.32.13.33.14.34.15.35.16.36.17.37.18.38.19.39.20.40.管理评审会议记录编号：管理评审时间管理评审地点公司会议室主持人记录人参加人：会议发言记录：ISO27001XX在未来加强正版化软件的意见，从成本上考虑，建议多考虑开源项目。公司的信息安全奖罚现在还没有有效地实施起来，希望在以后真正分解，落实。机房的断电风险依然存在，需要考虑添加相应设备。对于我公司的信息安全运行无重大事件向信息安全小组表示感谢。对于公司的环境改造,公司将尽快筹划,欢迎各部门提出建议。部门：信息安全管理者代表信息安全管理组长日期报告人评审项目评审内容（1）信息安全管理方针适用性，目标的测量；信息安全管理方针和目标测量在本部门有效实施，符合目前公司的实际情况。（2）管理体系的审核结果，包括内审、外审结果及其它形式的审核结果；无（3）用于改善信息安全管理体系性能和有效性的技术、产品和程序，包括信息安全管理方案的确定、执行等；无（4）改进、预防和纠正措施的状况，包括对内部审核和日常发现的不合格项采取的纠正和预防措施的实施及其有效性的监控结果；目前未发现纠正预防工作的失效.（5）以前风险评估中没有充分表达的威胁和薄弱点，以及风险的重新评估；暂无发现.（6）可能影响到信息安全管理体系的变更，包括公司组织结构、资源配置发生重大变化、信息安全技术发生变化、公司的商业目标或商业运作流程发生变化、信息安全法律、法规发生变化、发生重大信息安全事件等；无（7）改进建议。增加员工培训;加强正版化建设;改善办公环境管理评审报告评审会议时间、地点：公司办公室评审目的：一．对质量管理体系的适宜性、充分性和有效性等进行评价。二．对是否需要更改企业的质量管理体系质量方针和目标做出评价。三．对质量管理体系的现行状况和改进机会进行评价。四．对申请认证审核的可行性提供依据参加评审部门、人员：总经理;信息安全管理者代表;信息安全小组本次评审输入信息1信息安全管理体系方针的适宜性、充分性和有效性,目标、指标的完成情况；2内、外部审核结果和合规性评价的结果；4预防措施与纠正措施实施状况；5风险评估未考虑的威胁和薄弱点；8可能影响信息安全管理体系的变更的情况9信息安全管理体系变更和改进的建议公司安全目标落实、执行和实现情况：部门目 标 值考核办法考核频次达成情况生产部197%。以每月生产的合格数量计以相关检验记录为依据1次/月达成2、保密纸丢失不超过1起。以每月成品批数量计以相关检验记录为依据达成3、确保检测设备使用在有效期内，按时校准率为100%。依据检测仪器台帐、检定计划表及相关的检定合格证书1次/半年达成4、产品按规定的抽样规则检验，漏检率为0。依据相关检验记录1次/月达成办公室1、IT设备大面积病毒爆发不超过2起。以办公室收集的数据为准1次/半年达成2、员工培训合格率达100%。根据所制定的培训计划及考核结果情况进行测量1次/半年达成财务室重要设备盘点范围达到100%。以财务系统中的数据为准1次/年达成财务数据泄密不超过1起以办公室收集的数据为准1次/半年达成体系总体评价：信息安全管理体系持续适宜性：适宜 □基本适宜 □不适信息安全管理体系持续充分性：□充分 比较充分 □不充信息安全管理体系持续有效性：□有效 基本有效 □无效公司安全方针的评价： 适宜 □基本适宜 □不适宜公司安全目标的评价： 全部适宜 □基本适宜 □部分