ISO20000-管理评审报告-模板1

1、XXX有限公司 管理评审报告 编制：XX 批准：XX 20XX年X月X日 为验证公司体系文件的适宜性、充分性和有效性，评价和寻求信息安全和服务管 理体系改进的机会和变更的需要（包括管理方针和管理U标），根据管理手册 和XX年管理评审计划的要求，公司在20XX年X月X日下午13点15点在公司 会议室召开20XX年管理评审会议。本次会议山管理者代表主持，公司管理委员会 成员、管理者代表、各部门代表、内审员参加。本次管理评审的内容包括: 信息安全体系 1. 以往内部审核的结果; 2. 相关方的反馈: 3. 现行信息安全管理体系的整体有效性、适应性和充分性。 4-用于改进信息安全管理体系业绩和有效性的

2、技术、产品或程序; 5. 预防和纠正措施的状况: 6. 风险评估没有充分强调的脆弱性或威胁; 7. 有效性测量的结果: 9.改进的建议。 服务管理体系: 1年度公司服务体系运行悄况: 2客户满意度调查/投诉/服务质量分析报告: 3. 人力资源提供请况分析: 4. 预结算执行请况分析; 5. 采购及供应商管理1W况分析: 6. 服务管理体系的方针和U标的适宜性和符合性分析; 7. 服务管理体系的持续改进需求。 管理评审会议上，管理者代表以及各部门负责人将信息安全和服务管理体系的 建立以及实施悄况进行总结，并对下阶段工作提出要求。 管理评审内容具体如下: 一、信息安全和服务管理体系审核和评审以及外

3、审的结果 管理者代表在会上对管理体系的建立和运行情况进行了分析: 做到，做到要有效，有效要检査，检查要考核闭环管理”的要求，一一落实责任 部门进行整改。各单位/部门对内审工作较为重视，部门负责人和专职全程参与了 内审，根据内审报告制定了纠正计划，按照文件要求按时整改。 通过内审，对标准以及体系文件进行了再学习，大家对信息安全和服务管理有 了更进一步的理解，执行起来也更为顺畅。以往各专业条款的管理力度较大，横向 的交流相对欠缺，虽然各有各的特点和长处，平时不易接触和学习到，通过这次贯 标，进行了跨专业的检査，也起到了互相学习、共同进步的效果。通过实践，我们 的信息安全和服务管理体系更加符合我们的

4、实际工作，运行更加有效。 本次内部审核，我们认为公司的信息安全管理体系实施运行基本可行，体系运 行正常有效。 二、相关方的反馈 我公司信息系统，贯标以来信息安全管理状况不断完善，未收到内部或外部相 关方的有关投诉和上级批评，小问题基本能够在沟通中妥善解决，以达到相关方满 三、信息安全管理体系运行总结 就U前看，我公司建立的信息安全管理体系已基本符合标准和公司信息安全方 针的要求，并逐步得到有效的运行，己在信息安全管理上获得了较好的作用。我们 的信息安全管理体系虽己步入正常运行，但旧的思维方武和工作方法还没有完全改 观，不熟悉体系文件，执行不到位的现象还客观存在，少部分人员的信息安全意识 还有待

5、加强。 1. 用于改进信息安全管理体系业绩和有效性的技术.产品或程序 通过资产识别和风险评估来建立新的信息安全管理体系文件，资产识别共涉及 到管理层、各部门；对识别的公司信息资产进行评价，评估出重要信息资产，并给 重要资产进行风险赋值。经本次风险评估发现，本公司的主要信息资产仍为信息系 统软件开发数据、涉密文档资料；主要风险前期运行中已得以有效控制，当前风险 仍涉及信息系统安全管理方面、涉密文档管理方面。 2. 预防和纠正措施的状况 公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发 现存在问题，并对存在问题的原因进行分析，制定相应的纠正措施，各部门进行有 效控制。通过实施验

6、证，发现纠正描施实施有效，对防止问题的再次发生，起到有 效预防作用。 3.风险评估产生充分强调的脆弱性或威胁 随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工宿息安全 意识的提高，对风险有了新的认识或产生新的风险，因此，应按规定周期连续进行 风险评佔。 4. 有效性测量的结果 我公司信息安全的U标为重大信息安全事件（事故）为零。为完成公司的信息 安全U标，公司通过多种渠道进行检测和分析，如制定文件，明确达成U标中所遇 到的风险的监控，包括对风险处理计划执行的监测，风险等级的分析检测，网络访 问的检査，技术符合性的监测以及安全日志审核以及安全事件的监督等。通过各种 手段的监测，我公司

7、信息安全达到规定的U标，U前没有发生重大信息安全事件， 事故为0。 5.任何可能影响信息安全管理体系的变更 U前公司的体系运行正常，尚无重大变更。 6.改进的建议 我公司的信息安全贯标工作，是山各部门积极投入到贯标工作中来，项U进度 控制合理，总体来说实施质量较好，发现并处理了一批隐藏较深的重大隐患，建立 了系统化的信息安全管理控制体系，大大提高了信息安全风险的掌控能力。在看到 成绩的同时，我们也应看到信息安全贯标工作的复杂性。 1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进, 提高体系文件的运行效率，通过体系外审视最近的U的。 2、加强对体系文件的宣贯和学习，讲究方式，提

8、高效率；加强对软件及应用 专业知识和相关法律法规的学习，确保他们具有与其所承担任务相适应的工作能 力。 3、加强对变更后威胁的认识，并据此完善调査制度，逐步建设一套完善的应 急监测、响应系统。 4、进一步加强数据储存机房内部管理，不断提高管理的应用的水平，尽快完 善同步备份制度，尽量减少储存的备份时差。 5、进一步了解管理部门、社会各界需求业的需求，细分这些需求，逐步满足 这些需求，增强本公司竞争力。 6、日常监测工作的安排要提前，加強计划性，细化月计划、周计划，使各项 工作开始之前有足够的时间准备，降低忙中出错的儿率。 四. 服务管理体系运行总结 20XX年公司IT服务管理体系运行悄况、顾客

9、满童度测评、供应商管理及客户 服务实施悄况总结。 20XX年度管理评审会议采取专题会议的形式进行针对性的讨论、研究和部署。 截至20XX年10月，公司先后在专题会议上，对以上四个方面的运行情况进行了分 析、评议。公司认为: 1、公司现针对U前业务运行悄况，对过程体系进行了整合，流程的运作效率 提高了很多。 2、在顾客满意度方面，各项分值指标稳定，表明顾客对我公司提供服务持续 保持较商的满意度和重程度。 3、在供应商管理方面，公司本年度新增了一些新的供应商，通过与供应商的 良好合作、有效管理，为项U的顺利实施提供了有利保障。 4、服务U标评审 目标内容 安全指标 数据来源 测量结果 是否达标 客户回访满意率 =90% 满意度调査 92,5% 达标 事件解决率 =95% 事件记录 96% 达标 客户投