ISO27001信息安全管理体系内部审核和管理评审资料汇编

1、2020年度ISO 27001:2013信息安全管理体系内部审核资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年5月第 页 TOC o 1-5 h z HYPERLINK l bookmark2 o Current Document 信息安全管理体系内审年度计划2 HYPERLINK l bookmark4 o Current Document 内部审核实施计划2 HYPERLINK l bookmark8 o Current Document 关于开展管理体系内部审核通知4 HYPERLINK l bookmark10 o Current Document 内审员

2、委派通知书5 HYPERLINK l bookmark12 o Current Document 内部审核首次会议记录6 HYPERLINK l bookmark14 o Current Document 首次会议签到表7 HYPERLINK l bookmark16 o Current Document 内部审核检查表8 HYPERLINK l bookmark18 o Current Document 不符合报告12 HYPERLINK l bookmark20 o Current Document 内部审核末次会议记录13 HYPERLINK l bookmark22 o Current

3、 Document 末次会议签到表14 HYPERLINK l bookmark24 o Current Document 内审报告15不符合工作及纠正措施跟踪表16信息安全管理体系内审年度计划编号:JLWJ-NS-01评审日期2020年5月11日时间08:30-17:00地点综合办公室审核目的:对公司进行内部审核，以验证各部门信息安全管理体系运行的符合性、有效性和适 应性，查找信息安全管理体系运行中的不符合项，提出整改意见，制定纠正措施，是管 理层改进和完善管理体系的有效手段，为管理评审和外部审核作准备。审核依据:1管理体系文件（包括管理手册、程序文件、管理制度、操作规程和记录表格等）;2国

4、家或行业的有关法律、法规或标准；GB/T 22080-2016/1 SO/1 EC 27001:2013信息技术安全技术信息安全管理体系 要求审核人员:审核组长：XXX 组员：XXX、XX、XXX、XXX受审核部门和涉及的要求、内容:此次内部审核涉及本公司所覆盖的全部信息安全管理体系要素，各部门和全部工作 人员要做到全力配合。审核过程中，涉及到相关问题的部门和个人，要在现场做积极有 效的配合工作。审核日程安排:2020年4月10日制定内审计划，并上报给总经理审核批准。2020年4月20日由管理者代表委任内审组成员。2020年4月20日综合部主任通知各部门开展内部审核，并要求各部门做好准备。20

5、20年5月11日&30进行初次会议。2020年5月11 0 9:00进行现场评审。2020年5月11日16:00进行末次会议。2020年5月11日16:50发布内审报告审核报告的分发范围:此次内审工作报告的分发范围为：公司所有部门审核方法:集中审核现场审核审核项目:GB/T 22080-2016/IS0/IEC 27001 ： 2013信息技术 安全技术 信息安全管理体系 要 求覆盖的所有要素。总经理批示：批准实施批准人：XXXXX日 期：2020年4月10日_编制：综合部2020年4月10日内审实施计划编号：JLWJ2020-NS-02日期实施时间项目工作内容2020 年 5月11日8： 3

6、0 9： 00首次会议介绍内审组成员、内审目的、内审分组、内审流程9:0012:00集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核13:0015:30集中和现场审核内审人员分组根据内审查验表进行集中审核和现场审核15:3016:00出具不符合报告2组人员对检查记录进行汇 总，对审核中出现的不符合 项出具不符合报告16:0017:00末次会议发布内审中检查出的不符合 项目，针对不符合项目进行 讨论，提出整改内容责任化 和整改意见，限定整改期限。 发布内审报告。编制：综合部XXX网络科技有限公司文件XX 发2020 14 号关于开展管理体系内部审核通知公司各部门：为确保本公司建立的

7、信息安全管理体系能够持续有效的运行， 经公司会议研究，总经理批准，公司决定于2020年5月11日对公司 的信息安全管理体系开展一次年度内审活动，以便及时查找出在信息 安全管理体系运行中的不符合工作情况。请各部门接到通知后做好准备工作，确保通过内部审核的检查工 作，争取取得良好的效果。XXX网络科技有限公司2020年4月20日内审员委派通知书根据公司本年度的内部审核计划，现委派XXX为内审组组长，成 员 XX、XXX、XXX、XX o 内审组按照 GB/T 22080-2016/ISO/IEC 27001:2013信息技术安全技术信息安全管理体系要求中要素 要求对公司信息安全管理体系进行审核。内

8、审时间：2020年5月11日管理者代表：XX2020年4月20日内部审核首次会议记录编号：JLWJ2020-NS-03主持人XXX受审部门公司所有部门时间2020.5. 11 8:30参会人见签到表內审组成员组长：XXXX成员：XXXX会议记录：1.会议内容：2020年度管理体系例行内部审核首次会议2 确定联系人：各部门在接受审核时，分别指定1-2名陪同人员协助。内审组分工内审组分为2组，1组成员主要负责对体系文件（管理手册、程序文件、操 作规程、记录表格等）进行检查。2组成员主要负责对现场（业务流程等）进行 检查。内部审核目的、依据和范围：内部审核目的：对公司进行内部审核，以验证公司各部门管

9、理体系运行的符 合性.有效性和适应性，查找管理体系运行中的不符合项，提出整改意见，制定 纠正措施，是管理层改进和完善管理体系的有效手段，为管理评审和外部审核作 准备。内部审核依据：依据GB/T 22080-2016/1 SO/1 EC 27001:2013信息技术 安 全技术信息安全管理体系要求、相关法律法规、相关标准和公司管理体系文 件作为本次审核依据。内部审核范围:GB/T 22080-2016/1 SO/1 EC 27001:2013信息技术 安全技术 信息安全管理体系要求相关要素。内部审核的方法和程序：采取听取汇报、现场查看、提问、查阅资料等方式对各部门的管理体系和业 务操作规范性进行

10、全面考核。审核程序按公司程序文件内部审核控制程序进 行。6 确定内审的日程安排：日程安排依照内审实施计划进行，公司对日程安排无异议。7.本次审核重点：管理体系的符合性、有效性和适应性，生产工作是否按照体系运行。记录人：XXXX时间：2020年5月11日首次会议签到表编号：JLWJ2020-NS-04会议地点会议室会议时间2020年5月11日参会人员签名序号姓名序号姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546备注内部审核检查表编号：JLWJ2020-NS-05审核人员XX

11、X、 XX时间2020 年 5 月 11日标准条款审核內容审核记录评价4. 1理解组 织及其背景1.是否确定与其目标和战略方向 相关并影响其实现信息安全管理 体系预期结果的各种外部和内部 因素？1.确定了内部和外部因素，见内部外部因素分析表符合4.2理解相 关方的需求 和期望1.是否确定信息安全体系相关 方？2 .是否确定了相关方的要求？有确定信息安全体系相关方， 见相关方需求和期望登记表确定了相关方的要求，见相 关方需求和期望登记表符合4.3确定信 息安全管理 体系的范围检查信息安全管理管理体系手 册是否有明确范围？是否批准发 布？确定以上内容时，是否考虑了 内外部因素、相关方要求？检查适用

12、性声明，是否针对实 际情况做了合理的删减？1查了管理手册，有明确范围， 管理手册是经审核发布了的。管理体系范围考虑了内外部 因素、相关方要求。检查了适用性声明，做了合理 的删减。符合4.4信息安 全管理体系1.公司是否建立了信息安全管理 体系？1.建立了信息安全管理体系。符合5. 1领导和 承诺1.管理层是否制定了信息安全方 针和目标？2信息安全方针和目标是否和公 司战略方向一致？公司现有资源是否满足信息安 全管理体系？是否沟通有效的信息安全管理 及符合信息安全管理体系要求的 重要性？管理层是否履行自己的职责， 保证信息安全达到预期结果，是 否做出了承诺？是否指导并支持相关人员为信 息安全管理

13、体系的有效性做出贡 献？是否发布公司管理人员、部门 的职责和权限？管理人员和部门 是否履行其职责？制定了信息安全方针和目标， 见管理手册0.5方针、目标信息安全方针和目标与公司 战略方向一致。公司现有资源满足公司信息 安全管理体系。通过宣传、培训教育、会议等 方式进行沟通信息安全管理的 重要性，有相关会议记录、培训 记录。管理层做出了承诺，见承诺 书，管理层履行了相关职能。对为信息安全管理体系做出 贡献的人员做出奖励，制定了奖 罚制度。在管理手册、员工手册发布了 相关职责和权限，相关人员履行 了相应职能。符合5.2方针1是否由最高管理者制定了信息 安全方针并发布？2.信息安全方针是否符合标准要

14、1.信息安全方针是由最高管理 者制定并发布，见管理手册0.5 方针、目标。符合审核人员XXX、 XX时间2020 年 5 月 11日标准条款审核内容审核记录评价求？信息安全方针是否形成文件？信息安全方针是否在组织内得 到沟通？信息安全方针符合ISO 27001 的要求。形成了文件，见管理手册0.5 方针、目标5.3组织的 角色，责任 和权限1.是否发布公司管理人员、部门 的职责和权限？2是否建立了组织机构图和职能 分配表？3.部门负责人是否在管理评审时 报告信息安全管理体系绩效？1发布了相关职责和权限，见管 理手册和员工手册和上墙职责。建立了组织机构图和职能分 配表，见管理手册附录。部门负责人

15、在管理评审时报 告了信息安全管理体系绩效，见 部门的管理体系运行报告。符合6. 1. 1应对 风险和机会 的措施一总 则是否建立了应对风险和机遇 控制程序程序文件？是否制定应对风险和机遇的措 施？建立了程序文件。制定了应对风险和机遇的措 施。符合6. 1.2信息 安全风险评 估公司是否建立信息风险评估程 序文件?公司是否进行了风险评估并保 留了风险评估过程？抽查2份信息安全风险评估报 告，是否识别了风险等级和风险 责任人？1 .建立了程序文件。公司进行了风险评估并保留 了记录，见风险评估记录、风险 评估报告。抽查了信息安全评估报告，有 识别风险等级和风险责任人。符合6. 1.3信息 安全风险处

16、 置公司是否建立了信息风险处理 程序文件？是否制定了信息安全风险处理 计划？查看是否有信息风险处理记 录？建立了程序文件。制定了信息安全风险处理计 划。有信息风险处理记录，对信息 安全风险进行了处理符合6.2信息安 全目的及其 实现的规划公司和部门是否建立信息安全 目标？信息安全目标是否符合标准要 求？信息安全目标是否经过批准发 布？是否定期检查目标完成情况？是否策划了达到信息安全目标 的方案？是否统计目标完成情况，并进 行评价分析？建立了信息安全目标，见管理 手册0.5方针、目标。信息安全目标符合标准要求。信息安全目标经批准发布。综合部定期对目标完成情况 进行检查，有检查记录。制定了达到信息

17、安全目标的 方案。综合部统计了目标完成情况， 并进行了分析评价，见目标完 成情况统计表和分析评价记 录。符合7. 1资源1.公司资源是否满足信息安全管1 公司资源充足，满足公司信息符合审核人员XXX、 XX时间2020 年 5 月 11日标准条款审核内容审核记录评价理体系？2.是否建立了人力资源、信息处 理设施等资源的管理程序文件？安全管理体系需求。2建立相关资源管理程序文件。7.2能力公司是否对员工进行了培训教 育？是否对员工进行了能力确认？培训是否进行了有效性评价？是否有培训记录和能力确认记 录？1 .对员工进行了培训教育。对员工进行了能力确认。培训进行了有效性评价。有相关记录。符合7.

18、3意识1.各部门随机抽查2名员工，询 问公司的信息安全方针、不符合 信息安全管理体系会带来什么样 的影响？1各部门抽查了 2名员工，技术 部XX,和业务部XX回答不完整。不符合7.4沟通抽问5名员工，沟通信息安全 管理体系相关内容的沟通方式？ 沟通内容？什么情况下沟通？由 谁来沟通？沟通对象？是否有相关沟通记录？抽查并了解沟通情况。重要沟通有相关记录。符合7. 5. 1文件 化信息一总 则是否建立文件控制程序？是否具备了标准要求的所有文 件化信息？建立了程序文件。具备了 IS027001要求的文件 化信息。符合7.5.2文件 化信息-创 建和更新1.创建和更新文件是否是否符合 标准要求？1.各

19、部门按文件控制程序创 建和更新文件。符合7.5.3文件 化信息的控 制1.文件化信息是否进行了管理？ 2文件化信息是否进行了保存并 得到了充分的保护？电子文档是否进行了备份？保密电子文件是否得到了加 密？并进行了保护？外来文件是否进行了受控管 理？1对文件进行了管理，综合部负 责文件的管理。对需求保存的文件进行了保 存，文件放置于文件柜内，重要 文件放置于保险柜进行保护。电子文档都进行了备份。保密电子文件进行了加密，并 进行了备份。外来文件进行了受控，见受 控文件一览表符合8. 1运行规 划和控制针对风险是否制定了控制计 划？正对达到信息安全目标是否制 定了计划？制定了控制计划。制定了实现目标

20、的计划。符合8.2信息安 全风险评估1.是否按计划，或当重大变更提 出或发生时，执行信息安全风险 评估？1.按照计划，或当重大变更提出 或发生时，执行信息安全风险评 估。符合审核人员XXX、 XX时间2020年5月11日标准条款审核内容审核记录评价2.是否有信息安全风险评估报 告？2.有信息安全风险评估报告。8.3信息安 全风险处置是否实施信息安全风险处置计 划？是否保留了信息安全处理记 录？实施了信息安全风险处置计 划。保留了信息安全处理记录。符合9. 1监视、 测量、分析 和评价1是否建立了监视和测量控制 程序？2.是否有监视、测量评价记录？1.建立了程序文件。2 .有评价记录。符合9.2

21、内部审 核是否组织进行内审审核？是否按策划的时间间隔进行内 部审核？內部审核是否审核了标准要 求？不符合项是否采取了措施，去 年内审整改是否都完成了？内审情况是否形成文件化进行 保存？正在进行内部审核，去年也进 行了内部审核。每年至少进行1次内部审核，2次审核间隔不超过12个月。内部审核符合IS027001要 求。对不符合项制定了纠正/预防 措施，去年内部审核不符合项已 经整改完成，內审活动的资料进行了文件 牝保存。符合9.3管理评 审是否组织管理评审？是否按策划的时间间隔进行管 理评审？管理评审输入信息是否齐全？管理评审输出信息是否齐全？管理评审相关记录是否文件化 保存？去年组织了管理评审，

22、今年暂 未进行，计划将在7月份进行。每年至少进行1次管理评审， 2次审核间隔不超过12个月。去年管理评审输入信息齐全。去年管理评审输出信息齐全。管理评审相关记录进行了文 件化保存。符合10. 1不符 合及纠正措 施1是否建立了纠正/预防措施控 制程序？公司正对评审出现不符合项和 其他不符合发生时，是否采取措 施？是否对纠正措施进行验证？建立了程序文件。对不符合采取了纠正/预防措 施。对纠正措施进行了验证，有追 踪报告。符合10. 2持续 改进1.公司进行了哪些改进措施？改 进措施是否有效？1具体见管理评审改进措施及 验证记录，改进措施有一定效符合编号：JLWJ2020-NS-06第 页不符合报

23、告审核部门技术部、业务部部门负责人XXX、 XX内审人员XXX审核日期2020年5月11日不符合事实描述：技术部员工XX,和业务部员工XX对公司信息安全方针不熟悉、 对不符合的信息安全管理体系会带来什么样的影响不够了解。不符合标准条款：GB/T 22080-2016/IS0/IEC 27001:2013 7. 3 意识不符合原因：员工对GB/T 22080-2016/ISO/IEC 27001:2013的要求理解不够到 位，公司培训教育、宣传力度不够。部门负责人：2020年5月11日对信息安全管理体系影响：不能充分意识公司信息安全方针和信息安全管理体系 的重要性，可能造成员工没有责任心，对工作

24、不负责，会损坏公司信息安全管理 体系。内审组长：2020年5月11日内部审核末次会议记录主持人管理者代表受审部门公司所有部门时间2020.5.11 16:30参会人见签到表內审组成员组长：XXX成员：XXX、XXX、XX会议记录：会议内容：2020年度管理体系例行內部审核末次会议由内审组长汇报此次内审发现了 1项不符合项。由管理者代表对技术部和业务部负责人进行了批评，该项整改由业务部和技术 部负责人进行整改，管理者代表要求技术部和业务部负责人于2020年5月13 日前整改完毕，并提出了整改建议。1 技术部和业务部负责人对内审发现的问题作出回应，提出了整改措施，并承诺 2天内完成整改措施。记录人

25、：时间： 年 月曰末次会议签到表会议地点会议室会议时间2020年5月11日参会人员签名序号姓名序号姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546备注内审报告审核目的对公司进行內部审核，以验证各部门信息安全管理体系运行的符 合性、有效性和适应性，查找信息安全管理体系运行中的不符合 项，提出整改意见，制定纠正措施，是管理层改进和完善管理体 系的有效手段，为管理评审和外部审核作准备。审核范围公司所有部门审核依据管理体系文件（包括管理手册、程序文件、管理制度、操作规 程和记录表格

26、等）；国家或行业的有关法律、法规或标准；GB/T 22080-2016/1 SO/1 EC 27001:2013信息技术 安全技术 信 息安全管理体系要求）审核组长审核组XXXJ:XXX、XXX审核日期2020.5. 11成贝参加人员：见签到表审核过程概述：为了审核公司信息安全管理体系运行情况，对其运行的符合性、有效性和适 应性进行了验证，本公司于2020年5月11日按照内审检查表要素对公司所有部 门进行了审核，并出具了不符合项报告，组织了首次和末次会议，提出了整改建 议和措施。不符合项的分布情况及说明：此次内审发现1项不符合项，不符合项产生部门为业务部和技术部，从此次 内审可以看岀，公司管理

27、体系存在较低的问题，处于可控状态，总体上，公司管 理体系运行是有效的。管理体系运行情况的综合评价：通过此次内部审核，验证了各部门信息安全管理体系运行的符合性、有效性 和适应性；使所有人员意识到了信息安全方针、目标和运行的重要性。经公司各 部门和全体员工的努力，公司在管理体系运行中取得了相当好的成绩，存在的主要问题及改进建议：此次内审发现1项不符合项，员工相关意识淡薄。建议加强培训教育力度。不符合项纠正措施要求：部门进行一次培训教育，并增加之后的培训教育力度。审核组长：XXXX日期：2020年5月11日审核/批准：管理者代表日期：2020年5月11日报告下发人员及部门： 下发至所有部门备注：第

28、页不符合工作及纠正措施跟踪表编号：JLWJ2020-NS-10第1页共1页责任部门：业务部、技术部部门负责人:XX、XXX内审组长：XXX审核日期：2020年5月11日不符合项描述：技术部员工XX,和业务部员工XX对公司信息安全方针不熟悉、对不符合的信息 安全管理体系会带来什么样的影响不够了解不符合标准条款：GB/T 22080-2016/ISO/IEC 27001:20137. 3 意识内审员签字：XX 2020年5月11日部门负责人签字：2020年5月11日原因分析、纠正措施：原因分析：员工对GB/T 22080-2016/IS0/IEC 27001:2013的要求理解不够到位， 公司培训

29、教育、宣传力度不够。纠正措施：部门进行一次培训教育，并增加之后的培训教育力度。部门负责人签字：XXXX年月曰内审员认可签字：XXX年月曰内审组长批准签字：XXX年月曰纠正措施完成情况：已完成。管理者代表：XXXX年 月曰纠正措施验证：已整改。验证人：XXX年 月曰2020年度ISO 27001:2013信息安全管理体系管理评审资料汇编编制：XXX审核：XXX批准：XXXXXX网络科技有限公司2020年月管理评审计划表2第 页 TOC o 1-5 h z HYPERLINK l bookmark34 o Current Document 关于开展管理评审通知3 HYPERLINK l bookm

30、ark38 o Current Document 管理评审输入报告4 HYPERLINK l bookmark36 o Current Document 管理评审会议记录9管理评审报告10 HYPERLINK l bookmark40 o Current Document 管理评审签到表11 HYPERLINK l bookmark42 o Current Document 不符合/潜在不符合及纠正/预防措施表12第 页管理评审计划表编号：JLWJ2020-GP-01评审主持人总经理参加人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负 责人、信息安全管理委员会全体评审地点会议室评审

31、时间2020年11月11日评审目的通过管理评审，检查公司信息安全管理体系运行情况，验证适宜 性、充分性、有效性。评审类型年度审核评审内容a）以往管理评审提出的措施的状态；（管代）b）与信息安全管理体系相关的外部和内部事项的变化；（管代）c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施；（各部门）2）监视和测量结果；（信息安全管理委员会）3）审核结果；（管代）4）信息安全目的完成情况；（各部门、管代）d）相关方反馈；（业务部）e）风险评估结果及风险处置计划的状态；（信息安全管理委员会）f）持续改进的机会（管代、各部门）评审前期准备工作各部门根据评审内容的准备相应资料，于202

32、0年11月1日前向 管理者代表提交评审内容报告。管理评审报告发放日期及范围管理评审报告于评审会议结束后的2日内发出。发至：总经理、管理者代表、信息安全管理委员会、公司各部门编制人：披准人:2020年10月15日2020年10月16日XXX网络科技有限公司文件XX 发2020125 号关于开展管理评审通知公司各部门：为确保本公司建立的信息安全管理体系能够持续有效的运行，公司定于 2020年11月11日在会议室展开2020年度管理评审，以便及时查找出在管理体 系运行中的不符合工作情况。请各部门负责人准备好以下相应的管理评审资料, 于2020年11月1日前向管理者代表提交书面报告，本次管理评审参会人

33、员包括: 总经理、管理者代表、信息安全管理委员会全体和各部门负责人。本次评审内容：a）以往管理评审提出的措施的状态；（管代）b）与信息安全管理体系相关的外部和内部事项的变化；（管代）c）有关信息安全绩效的反馈，包括以下方面的趋势：1）不符合和纠正措施；（各部门）2）监视和测量结果；（信息安全管理委员会）3）审核结果；（管代）4）信息安全目的完成情况；（管代、各部门）d）相关方反馈；（业务部）e）风险评估结果及风险处置计划的状态；（信息安全管理委员会）f）持续改进的机会（管代、各部门）XXX信息安全有限公司2020年10月20日管理评审输入报告第 页编号：JLWJ2020-GP-02部门综合部编

34、制人部门负责人时间2020. 10. 27一、综合部信息安全目的实现情况a）审核实施及时率二90%b）员工入职培训完成率=100%c）员工保密协议签订率=100%d）计划培训实施率=100%e）文件有效率=100%f）文件按时发放率=100%根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保 证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，未有不合格事项。三、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。编号：JLWJ2020-GP-02部门业务部编制人部门负责人时间2020. 10. 27一、业务部信息安全目的实现情况a）客户满

35、意度二90%b）产品退回=0c）投诉=0根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保 证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取 了加强培训教育的纠正措施，进行了整改。二、相关方反馈本部门通过发放回收满意度调查表和通过询问相关方，获取相关反馈信息， 并对反馈信息进行了分析评价，公司根据反馈信息做出了改进。四、持续改进的机会加强培训、加强管理。提髙工作人员能力，增强员工意识。编号：JLWJ2020-GP-02部门技术部编制人部门负责人时间2020. 10. 27一、技术部信息安全目的实现情况a）机密信息泄密

36、事件=0次b）大面积感染病毒次数二0次c）成功防范黑客攻击率=100%d）重要信息备份技术率=100%e）计算机故障处理完成率=100%f）产品及时完成率=100%根据统计情况，本部门的所有目标均达成，希望在部门人员继续努力下，保 证信息安全目标持续实现。二、不合格及纠正措施近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取 了加强培训教育的纠正措施，进行了整改。三、持续改进的机会加强培训、加强管理。提髙工作人员能力，增强员工意识。编号：JLWJ2020-GP-02部门信息安全管理 委员会编制人会长时间2020. 10. 27一、信息安全管理委员会信息安全目的实现情况a）不可接

37、受风险处理率=100%根据统计情况，本管理委员会的所有目标均达成，希望在管理委员会人员继 续努力下，保证信息安全目标持续实现。二、不合格及纠正措滋近1年内部审核和其他评审检查中，无不符合项。三、监视和测量结果针对公司业务软件研发、网站建立等业务，实施监控和测量，对研发、建立、 设计过程进行监控，和产品的测试，杜绝出现不合格品和出现信息安全风险。通 过对监视和测量结果，分析评价，确保得到合格的产品。四、风险评估结果及风险处置计划的状态公司通过内审、定期和不定期检查和外部检查等检查出风险和潜在风险，通 过对风险进行评估分析，确定风险等级和风险责任，根据风险评估报告制定了风 险处置计划，根据计划内容

38、已经对风险进行了有效的处理控制。具体查看风险 和机遇识别评估处置表五、持续改进的机会加强管理编号：JLWJ2020-GP-02编制人管理者代表时间2020. 10. 27一、公司信息安全目的完成情况a）不可接受风险处理率=100%b）机密信息泄密事件=0次c）重大突发事件=0次d）客户满意度=90%根据统计情况，公司的所有目标均达成，希望在全体人员继续努力下，保证 信息安全目标持续实现。二、与信息安全管理体系相关的外部和内部事项的变化公司组织结构、信息安全方针、信息安全目标、主要的管理体系文件（管理 手册、程序文件、操作规程等）没有发生变化，外部（法律法规、经济、竞争环 境等）未发生较大变化。

39、三、审核结果近1年内部审核和其他评审检查中，在内审中出现1项不符合项，部门采取 了加强培训教育的纠正措施，进行了整改。四、持续改进的机会加强培训、加强管理。提高工作人员能力，增强员工意识。第 页管理评审会议记录编号：JLWJ2020-GP-03主持人总经理记录人XXX地点会议室时间2020年11月1日参会人员总经理、管理者代表、综合部负责人、业务部负责人、技术部负责人、 信息安全管理委员会全体评审目的通过管理评审，检查公司信息安全管理体系运行情况，验证适宜性、 充分性、有效性。会议记录：首先由公司总经理发表讲话，对进行管理评审的目的做出说明。管理评审目的：通过管理评审，检查公司信息安全管理体系运行情况，验证适 宜性、充分性、有效性。管理者代表、信息安全委员会会长和部门负责人就评审内容进行汇报。综合部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。业务部：不符合和纠正措施、信息安全目的完成情况、相关方反馈、持续改进 的机会。技术部：不符合和纠正措施、信息安全目的完成情况、持续改进的机会。信息安全管理委员会：不符合和纠正措施、信息安全目的完成情况、持续改进 的机会、监视和测量结果、风险评估结果及风险处置计划的状态。管理者代表：以往管理评审提出的措施的