1、2020年度ISO 27001:2013信息安全管理體系內(nèi)部審核資料匯編編 制：XXX審 核：XXX批 準：XXXXXX網(wǎng)絡科技有限公司2020年5月第 頁目 錄信息安全管理體系內(nèi)審年度計劃2內(nèi)部審核實施計劃2關(guān)于開展管理體系內(nèi)部審核通知4內(nèi)審員委派通知書5內(nèi)部審核首次會議記錄6首次會議簽到表7內(nèi)部審核檢查表8不符合報告12內(nèi)部審核末次會議記錄13末次會議簽到表14內(nèi)審報告15不符合工作及糾正措施跟蹤表16信息安全管理體系內(nèi)審年度計劃編號：JLWJ-NS-01評審日期2020年5月11日時間08:30-17:00地點綜合辦公室審核目的：對公司進行內(nèi)部審核，以驗證各部門信息安全管理體系運行的符合

2、性、有效性和適應性，查找信息安全管理體系運行中的不符合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。審核依據(jù)：1.管理體系文件（包括管理手冊、程序文件、管理制度、操作規(guī)程和記錄表格等）；2.國家或行業(yè)的有關(guān)法律、法規(guī)或標準；3.GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求審核人員：審核組長：XXX 組員：XXX、XX、XXX、XXX受審核部門和涉及的要求、內(nèi)容： 此次內(nèi)部審核涉及本公司所覆蓋的全部信息安全管理體系要素，各部門和全部工作人員要做到全力配合。審核過程中，涉及到相關(guān)問

3、題的部門和個人，要在現(xiàn)場做積極有效的配合工作。審核日程安排：1.2020年4月10日制定內(nèi)審計劃，并上報給總經(jīng)理審核批準。2.2020年4月20日由管理者代表委任內(nèi)審組成員。3.2020年4月20日綜合部主任通知各部門開展內(nèi)部審核，并要求各部門做好準備。4.2020年5月11日8:30進行初次會議。5.2020年5月11日9:00進行現(xiàn)場評審。6.2020年5月11日16:00進行末次會議。7.2020年5月11日16:50發(fā)布內(nèi)審報告審核報告的分發(fā)范圍：此次內(nèi)審工作報告的分發(fā)范圍為：公司所有部門審核方法：1.集中審核2.現(xiàn)場審核審核項目： GB/T 22080-2016/ISO/IEC 27

4、001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求覆蓋的所有要素?？偨?jīng)理批示：批準實施 批準人：XXXXX 日 期：2020年4月10日 編制：綜合部 2020年4月10日內(nèi)審實施計劃編號：JLWJ2020-NS-02日期實施時間項目工作內(nèi)容2020年5月11日8:309:00首次會議介紹內(nèi)審組成員、內(nèi)審目的、內(nèi)審分組、內(nèi)審流程9:0012:00集中和現(xiàn)場審核內(nèi)審人員分組根據(jù)內(nèi)審查驗表進行集中審核和現(xiàn)場審核13:0015:30集中和現(xiàn)場審核內(nèi)審人員分組根據(jù)內(nèi)審查驗表進行集中審核和現(xiàn)場審核15:3016:00出具不符合報告2組人員對檢查記錄進行匯總，對審核中出現(xiàn)的不符合項出具不符合報告1

5、6:0017:00末次會議發(fā)布內(nèi)審中檢查出的不符合項目，針對不符合項目進行討論，提出整改內(nèi)容責任化和整改意見，限定整改期限。發(fā)布內(nèi)審報告。編制：綜合部XXX網(wǎng)絡科技有限公司文件XX發(fā)202014號關(guān)于開展管理體系內(nèi)部審核通知公司各部門：為確保本公司建立的信息安全管理體系能夠 持續(xù)有效的運行，經(jīng)公司會議研究，總經(jīng)理批準，公司決定于2020年5月11日對公司的信息安全管理體系開展一次年度內(nèi)審活動，以便及時查找出在信息安全管理體系運行中的不符合工作情況。請各部門接到通知后做好準備工作，確保通過內(nèi)部審核的檢查工作，爭取取得良好的效果。 XXX網(wǎng)絡科技有限公司 2020年4月20日內(nèi)審員委派通知書根據(jù)公

6、司本年度的內(nèi)部審核計劃，現(xiàn)委派XXX為內(nèi)審組組長，成員XX、XXX、XXX、XX。內(nèi)審組按照GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求中要素要求對公司信息安全管理體系進行審核。內(nèi)審時間：2020年5月11日 管理者代表：XX 2020年4月20日內(nèi)部審核首次會議記錄編號：JLWJ2020-NS-03主持人XXX受審部門公司所有部門時間2020.5.11 8:30參會人見簽到表內(nèi)審組成員組長：XXXX 成員：XXXX會議記錄：1.會議內(nèi)容：2020年度管理體系例行內(nèi)部審核首次會議2.確定聯(lián)系人：各部門在接受審核時，分別指定1-2

7、名陪同人員協(xié)助。3.內(nèi)審組分工內(nèi)審組分為2組，1組成員主要負責對體系文件（管理手冊、程序文件、操作規(guī)程、記錄表格等）進行檢查。2組成員主要負責對現(xiàn)場（業(yè)務流程等）進行檢查。4.內(nèi)部審核目的、依據(jù)和范圍： 內(nèi)部審核目的：對公司進行內(nèi)部審核，以驗證公司各部門管理體系運行的符合性、有效性和適應性，查找管理體系運行中的不符合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。 內(nèi)部審核依據(jù)：依據(jù)GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求、相關(guān)法律法規(guī)、相關(guān)標準和公司管理體系文件作為本次審核

8、依據(jù)。 內(nèi)部審核范圍：GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求相關(guān)要素。5.內(nèi)部審核的方法和程序：采取聽取匯報、現(xiàn)場查看、提問、查閱資料等方式對各部門的管理體系和業(yè)務操作規(guī)范性進行全面考核。審核程序按公司程序文件內(nèi)部審核控制程序進行。6.確定內(nèi)審的日程安排：日程安排依照內(nèi)審實施計劃進行，公司對日程安排無異議。7.本次審核重點：管理體系的符合性、有效性和適應性，生產(chǎn)工作是否按照體系運行。記錄人： XXXX 時間：2020年5月11日首次會議簽到表編號：JLWJ2020-NS-04會議地點會議室會議時間2020年5月11日參會人

9、員簽名序號姓名序號姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)部審核檢查表編號：JLWJ2020-NS-05審核人員XXX、XX時間2020年5月11日標準條款審核內(nèi)容審核記錄評價4.1理解組織及其背景 1.是否確定與其目標和戰(zhàn)略方向相關(guān)并影響其實現(xiàn)信息安全管理體系預期結(jié)果的各種外部和內(nèi)部因素？1.確定了內(nèi)部和外部因素，見內(nèi)部外部因素分析表符合4.2理解相關(guān)方的需求和期望 1.是否確定信息安全體系相關(guān)方？2.是否確定了相關(guān)方的要求？1.有確定信息安全體系相關(guān)方，見

10、相關(guān)方需求和期望登記表2.確定了相關(guān)方的要求，見相關(guān)方需求和期望登記表符合4.3確定信息安全管理體系的范圍 1.檢查信息安全管理管理體系手冊是否有明確范圍？是否批準發(fā)布？2.確定以上內(nèi)容時，是否考慮了內(nèi)外部因素、相關(guān)方要求？3.檢查適用性聲明，是否針對實際情況做了合理的刪減？1.查了管理手冊，有明確范圍，管理手冊是經(jīng)審核發(fā)布了的。2.管理體系范圍考慮了內(nèi)外部因素、相關(guān)方要求。3.檢查了適用性聲明，做了合理的刪減。符合4.4信息安全管理體系1.公司是否建立了信息安全管理體系？1.建立了信息安全管理體系。符合5.1領(lǐng)導和承諾1.管理層是否制定了信息安全方針和目標？2.信息安全方針和目標是否和公司戰(zhàn)

11、略方向一致？3.公司現(xiàn)有資源是否滿足信息安全管理體系？4.是否溝通有效的信息安全管理及符合信息安全管理體系要求的重要性？5.管理層是否履行自己的職責，保證信息安全達到預期結(jié)果，是否做出了承諾？6.是否指導并支持相關(guān)人員為信息安全管理體系的有效性做出貢獻？7.是否發(fā)布公司管理人員、部門的職責和權(quán)限？管理人員和部門是否履行其職責？1.制定了信息安全方針和目標，見管理手冊0.5方針、目標2.信息安全方針和目標與公司戰(zhàn)略方向一致。3.公司現(xiàn)有資源滿足公司信息安全管理體系。4.通過宣傳、培訓教育、會議等方式進行溝通信息安全管理的重要性，有相關(guān)會議記錄、培訓記錄。5.管理層做出了承諾，見承諾書，管理層履行

12、了相關(guān)職能。6.對為信息安全管理體系做出貢獻的人員做出獎勵，制定了獎罰制度。7.在管理手冊、員工手冊發(fā)布了相關(guān)職責和權(quán)限，相關(guān)人員履行了相應職能。符合5.2方針1.是否由最高管理者制定了信息安全方針并發(fā)布？2.信息安全方針是否符合標準要求？3.信息安全方針是否形成文件？4.信息安全方針是否在組織內(nèi)得到溝通？1.信息安全方針是由最高管理者制定并發(fā)布，見管理手冊0.5方針、目標。2.信息安全方針符合ISO 27001的要求。3.形成了文件，見管理手冊0.5方針、目標符合5.3組織的角色，責任和權(quán)限1.是否發(fā)布公司管理人員、部門的職責和權(quán)限？2.是否建立了組織機構(gòu)圖和職能分配表？3.部門負責人是否在

13、管理評審時報告信息安全管理體系績效？1.發(fā)布了相關(guān)職責和權(quán)限，見管理手冊和員工手冊和上墻職責。2.建立了組織機構(gòu)圖和職能分配表，見管理手冊附錄。3.部門負責人在管理評審時報告了信息安全管理體系績效，見部門的管理體系運行報告。符合6.1.1應對風險和機會的措施總則1.是否建立了應對風險和機遇控制程序程序文件？2.是否制定應對風險和機遇的措施？1.建立了程序文件。2.制定了應對風險和機遇的措施。符合6.1.2信息安全風險評估1.公司是否建立信息風險評估程序文件？2.公司是否進行了風險評估并保留了風險評估過程？3.抽查2份信息安全風險評估報告，是否識別了風險等級和風險責任人？1.建立了程序文件。2.

14、公司進行了風險評估并保留了記錄，見風險評估記錄、風險評估報告。3.抽查了信息安全評估報告，有識別風險等級和風險責任人。符合6.1.3信息安全風險處置1.公司是否建立了信息風險處理程序文件？2.是否制定了信息安全風險處理計劃？3.查看是否有信息風險處理記錄？1.建立了程序文件。2.制定了信息安全風險處理計劃。3.有信息風險處理記錄，對信息安全風險進行了處理符合6.2信息安全目的及其實現(xiàn)的規(guī)劃1.公司和部門是否建立信息安全目標？2.信息安全目標是否符合標準要求？3.信息安全目標是否經(jīng)過批準發(fā)布？4.是否定期檢查目標完成情況？5.是否策劃了達到信息安全目標的方案？6.是否統(tǒng)計目標完成情況，并進行評價

15、分析？1.建立了信息安全目標，見管理手冊0.5方針、目標。2.信息安全目標符合標準要求。3.信息安全目標經(jīng)批準發(fā)布。4.綜合部定期對目標完成情況進行檢查，有檢查記錄。5.制定了達到信息安全目標的方案。6.綜合部統(tǒng)計了目標完成情況，并進行了分析評價，見目標完成情況統(tǒng)計表和分析評價記錄。符合7.1資源1.公司資源是否滿足信息安全管理體系？2.是否建立了人力資源、信息處理設施等資源的管理程序文件？1.公司資源充足，滿足公司信息安全管理體系需求。2.建立相關(guān)資源管理程序文件。符合7.2能力1.公司是否對員工進行了培訓教育？2.是否對員工進行了能力確認？3.培訓是否進行了有效性評價？4.是否有培訓記錄和

16、能力確認記錄？1.對員工進行了培訓教育。2.對員工進行了能力確認。3.培訓進行了有效性評價。4.有相關(guān)記錄。符合7.3意識1.各部門隨機抽查2名員工，詢問公司的信息安全方針、不符合信息安全管理體系會帶來什么樣的影響？1.各部門抽查了2名員工，技術(shù)部XX，和業(yè)務部XX回答不完整。不符合7.4溝通1.抽問5名員工，溝通信息安全管理體系相關(guān)內(nèi)容的溝通方式？溝通內(nèi)容？什么情況下溝通？由誰來溝通？溝通對象？2.是否有相關(guān)溝通記錄？1.抽查并了解溝通情況。2.重要溝通有相關(guān)記錄。符合7.5.1文件化信息總則1.是否建立文件控制程序？2.是否具備了標準要求的所有文件化信息？1.建立了程序文件。2.具備了IS

17、O27001要求的文件化信息。符合7.5.2文件化信息-創(chuàng)建和更新1.創(chuàng)建和更新文件是否是否符合標準要求？1.各部門按文件控制程序創(chuàng)建和更新文件。符合7.5.3文件化信息的控制1.文件化信息是否進行了管理？2.文件化信息是否進行了保存并得到了充分的保護？3.電子文檔是否進行了備份？4.保密電子文件是否得到了加密？并進行了保護？5.外來文件是否進行了受控管理？1.對文件進行了管理，綜合部負責文件的管理。2.對需求保存的文件進行了保存，文件放置于文件柜內(nèi)，重要文件放置于保險柜進行保護。3.電子文檔都進行了備份。4.保密電子文件進行了加密，并進行了備份。5.外來文件進行了受控，見受控文件一覽表符合8

18、.1運行規(guī)劃和控制1.針對風險是否制定了控制計劃？2.正對達到信息安全目標是否制定了計劃？1.制定了控制計劃。2.制定了實現(xiàn)目標的計劃。符合8.2信息安全風險評估1.是否按計劃，或當重大變更提出或發(fā)生時，執(zhí)行信息安全風險評估？2.是否有信息安全風險評估報告？1.按照計劃，或當重大變更提出或發(fā)生時，執(zhí)行信息安全風險評估。2.有信息安全風險評估報告。符合8.3信息安全風險處置1.是否實施信息安全風險處置計劃？2.是否保留了信息安全處理記錄？1.實施了信息安全風險處置計劃。2.保留了信息安全處理記錄。符合9.1監(jiān)視、測量、分析和評價1.是否建立了監(jiān)視和測量控制程序？2.是否有監(jiān)視、測量評價記錄？1.

19、建立了程序文件。2.有評價記錄。符合9.2內(nèi)部審核1.是否組織進行內(nèi)審審核？2.是否按策劃的時間間隔進行內(nèi)部審核？3.內(nèi)部審核是否審核了標準要求？4.不符合項是否采取了措施，去年內(nèi)審整改是否都完成了？5.內(nèi)審情況是否形成文件化進行保存？1.正在進行內(nèi)部審核，去年也進行了內(nèi)部審核。2.每年至少進行1次內(nèi)部審核，2次審核間隔不超過12個月。3.內(nèi)部審核符合ISO27001要求。4.對不符合項制定了糾正/預防措施，去年內(nèi)部審核不符合項已經(jīng)整改完成，5.內(nèi)審活動的資料進行了文件化保存。符合9.3管理評審1.是否組織管理評審？2.是否按策劃的時間間隔進行管理評審？3.管理評審輸入信息是否齊全？4.管理評

20、審輸出信息是否齊全？5.管理評審相關(guān)記錄是否文件化保存？1.去年組織了管理評審，今年暫未進行，計劃將在7月份進行。2.每年至少進行1次管理評審，2次審核間隔不超過12個月。3.去年管理評審輸入信息齊全。4.去年管理評審輸出信息齊全。5.管理評審相關(guān)記錄進行了文件化保存。符合10.1不符合及糾正措施1.是否建立了糾正/預防措施控制程序？2.公司正對評審出現(xiàn)不符合項和其他不符合發(fā)生時，是否采取措施？3.是否對糾正措施進行驗證？1.建立了程序文件。2.對不符合采取了糾正/預防措施。3.對糾正措施進行了驗證，有追蹤報告。符合10.2持續(xù)改進1.公司進行了哪些改進措施？改進措施是否有效？1.具體見管理評

21、審改進措施及驗證記錄，改進措施有一定效果。符合不符合報告編號：JLWJ2020-NS-06審核部門技術(shù)部、業(yè)務部部門負責人XXX、XX內(nèi)審人員XXX審核日期2020年5月11日不符合事實描述：技術(shù)部員工XX，和業(yè)務部員工XX對公司信息安全方針不熟悉、對不符合的信息安全管理體系會帶來什么樣的影響不夠了解。不符合標準條款：GB/T 22080-2016/ISO/IEC 27001:2013 7.3意識不符合原因：員工對GB/T 22080-2016/ISO/IEC 27001:2013的要求理解不夠到位，公司培訓教育、宣傳力度不夠。 部門負責人： 2020年5月11日 對信息安全管理體系影響：不能

22、充分意識公司信息安全方針和信息安全管理體系的重要性，可能造成員工沒有責任心，對工作不負責，會損壞公司信息安全管理體系。 內(nèi)審組長： 2020年5月11日內(nèi)部審核末次會議記錄編號：JLWJ2020-NS-07主持人管理者代表受審部門公司所有部門時間2020.5.11 16:30參會人見簽到表內(nèi)審組成員組長：XXX 成員：XXX、XXX、XX會議記錄：1.會議內(nèi)容：2020年度管理體系例行內(nèi)部審核末次會議2.由內(nèi)審組長匯報此次內(nèi)審發(fā)現(xiàn)了1項不符合項。3.由管理者代表對技術(shù)部和業(yè)務部負責人進行了批評，該項整改由業(yè)務部和技術(shù)部負責人進行整改，管理者代表要求技術(shù)部和業(yè)務部負責人于2020年5月13日前整

23、改完畢，并提出了整改建議。4.技術(shù)部和業(yè)務部負責人對內(nèi)審發(fā)現(xiàn)的問題作出回應，提出了整改措施，并承諾2天內(nèi)完成整改措施。記錄人： 時間： 年 月 日第 頁末次會議簽到表編號：JLWJ2020-NS-08會議地點會議室會議時間2020年5月11日參會人員簽名序號姓名序號姓名12345678910111213141516171819202122232425262728293031323334353637383940414243444546備注內(nèi)審報告編號：JLWJ2020-NS-09審核目的對公司進行內(nèi)部審核，以驗證各部門信息安全管理體系運行的符合性、有效性和適應性，查找信息安全管理體系運行中的不符

24、合項，提出整改意見，制定糾正措施，是管理層改進和完善管理體系的有效手段，為管理評審和外部審核作準備。審核范圍公司所有部門審核依據(jù)1.管理體系文件（包括管理手冊、程序文件、管理制度、操作規(guī)程和記錄表格等）；2.國家或行業(yè)的有關(guān)法律、法規(guī)或標準；3.GB/T 22080-2016/ISO/IEC 27001:2013信息技術(shù) 安全技術(shù) 信息安全管理體系 要求）審核組長XXX審核組成員XXX、XXX審核日期2020.5.11參加人員：見簽到表審核過程概述：為了審核公司信息安全管理體系運行情況，對其運行的符合性、有效性和適應性進行了驗證，本公司于2020年5月11日按照內(nèi)審檢查表要素對公司所有部門進行

25、了審核，并出具了不符合項報告，組織了首次和末次會議，提出了整改建議和措施。不符合項的分布情況及說明：此次內(nèi)審發(fā)現(xiàn)1項不符合項，不符合項產(chǎn)生部門為業(yè)務部和技術(shù)部，從此次內(nèi)審可以看出，公司管理體系存在較低的問題，處于可控狀態(tài)，總體上，公司管理體系運行是有效的。管理體系運行情況的綜合評價： 通過此次內(nèi)部審核，驗證了各部門信息安全管理體系運行的符合性、有效性和適應性；使所有人員意識到了信息安全方針、目標和運行的重要性。經(jīng)公司各部門和全體員工的努力，公司在管理體系運行中取得了相當好的成績，存在的主要問題及改進建議： 此次內(nèi)審發(fā)現(xiàn)1項不符合項，員工相關(guān)意識淡薄。建議加強培訓教育力度。不符合項糾正措施要求：

26、部門進行一次培訓教育，并增加之后的培訓教育力度。審核組長：XXXX 日期：2020年5月11日審核/批準：管理者代表 日期：2020年5月11日報告下發(fā)人員及部門：下發(fā)至所有部門備注：不符合工作及糾正措施跟蹤表編號：JLWJ2020-NS-10 第1頁 共1頁責任部門：業(yè)務部、技術(shù)部部門負責人：XX、XXX內(nèi)審組長：XXX審核日期：2020年5月11日不符合項描述：技術(shù)部員工XX，和業(yè)務部員工XX對公司信息安全方針不熟悉、對不符合的信息安全管理體系會帶來什么樣的影響不夠了解不符合標準條款：GB/T 22080-2016/ISO/IEC 27001:2013 7.3意識內(nèi)審員簽字：XX 2020

27、年5月11日 部門負責人簽字：2020年5月11日原因分析、糾正措施：原因分析：員工對GB/T 22080-2016/ISO/IEC 27001:2013的要求理解不夠到位，公司培訓教育、宣傳力度不夠。糾正措施：部門進行一次培訓教育，并增加之后的培訓教育力度。部門負責人簽字：XXXX 年 月 日內(nèi)審員認可簽字：XXX 年 月 日內(nèi)審組長批準簽字：XXX 年 月 日糾正措施完成情況：已完成。管理者代表：XXXX 年 月 日 糾正措施驗證：已整改。驗證人：XXX 年 月 日2020年度ISO 27001:2013信息安全管理體系管理評審資料匯編編 制：XXX審 核：XXX批 準：XXXXXX網(wǎng)絡科

28、技有限公司2020年11月第 頁目 錄管理評審計劃表2關(guān)于開展管理評審通知3管理評審輸入報告4管理評審會議記錄9管理評審報告10管理評審簽到表11不符合/潛在不符合及糾正/預防措施表12管理評審計劃表編號：JLWJ2020-GP-01評審主持人總經(jīng)理參加人員總經(jīng)理、管理者代表、綜合部負責人、業(yè)務部負責人、技術(shù)部負責人、信息安全管理委員會全體評審地點會議室評審時間2020年11月11日評審目的通過管理評審，檢查公司信息安全管理體系運行情況，驗證適宜性、充分性、有效性。評審類型年度審核評審內(nèi)容a) 以往管理評審提出的措施的狀態(tài)；（管代）b) 與信息安全管理體系相關(guān)的外部和內(nèi)部事項的變化；（管代）c

29、) 有關(guān)信息安全績效的反饋，包括以下方面的趨勢：1) 不符合和糾正措施；（各部門）2) 監(jiān)視和測量結(jié)果；（信息安全管理委員會）3) 審核結(jié)果；（管代）4) 信息安全目的完成情況；（各部門、管代）d) 相關(guān)方反饋；（業(yè)務部）e) 風險評估結(jié)果及風險處置計劃的狀態(tài)；（信息安全管理委員會）f) 持續(xù)改進的機會（管代、各部門）評審前期準備工作各部門根據(jù)評審內(nèi)容的準備相應資料，于2020年11月1日前向管理者代表提交評審內(nèi)容報告。管理評審報告發(fā)放日期及范圍管理評審報告于評審會議結(jié)束后的2日內(nèi)發(fā)出。發(fā)至：總經(jīng)理、管理者代表、信息安全管理委員會、公司各部門編制人： 批準人： 2020年10月15日 2020

30、 年10月16日XXX網(wǎng)絡科技有限公司文件XX發(fā)202025號關(guān)于開展管理評審通知公司各部門：為確保本公司建立的信息安全管理體系能夠持續(xù)有效的運行，公司定于2020年11月11日在會議室展開2020年度管理評審，以便及時查找出在管理體系運行中的不符合工作情況。請各部門負責人準備好以下相應的管理評審資料，于2020年11月1日前向管理者代表提交書面報告，本次管理評審參會人員包括：總經(jīng)理、管理者代表、信息安全管理委員會全體和各部門負責人。本次評審內(nèi)容：a) 以往管理評審提出的措施的狀態(tài)；（管代）b) 與信息安全管理體系相關(guān)的外部和內(nèi)部事項的變化；（管代）c) 有關(guān)信息安全績效的反饋，包括以下方面的

31、趨勢：1) 不符合和糾正措施；（各部門）2) 監(jiān)視和測量結(jié)果；（信息安全管理委員會）3) 審核結(jié)果；（管代）4) 信息安全目的完成情況；（管代、各部門）d) 相關(guān)方反饋；（業(yè)務部）e) 風險評估結(jié)果及風險處置計劃的狀態(tài)；（信息安全管理委員會）f) 持續(xù)改進的機會（管代、各部門） XXX信息安全有限公司 2020年10月20日管理評審輸入報告編號：JLWJ2020-GP-02部門綜合部編制人部門負責人時間2020.10.27綜合部信息安全目的實現(xiàn)情況a）審核實施及時率=90%b）員工入職培訓完成率=100%c）員工保密協(xié)議簽訂率=100%d）計劃培訓實施率=100%e）文件有效率=100%f）文

32、件按時發(fā)放率=100%根據(jù)統(tǒng)計情況，本部門的所有目標均達成，希望在部門人員繼續(xù)努力下，保證信息安全目標持續(xù)實現(xiàn)。二、不合格及糾正措施近1年內(nèi)部審核和其他評審檢查中，未有不合格事項。三、持續(xù)改進的機會加強培訓、加強管理。提高工作人員能力，增強員工意識。管理評審輸入報告編號：JLWJ2020-GP-02部門業(yè)務部編制人部門負責人時間2020.10.27一、業(yè)務部信息安全目的實現(xiàn)情況客戶滿意度=90%產(chǎn)品退回=0投訴=0根據(jù)統(tǒng)計情況，本部門的所有目標均達成，希望在部門人員繼續(xù)努力下，保證信息安全目標持續(xù)實現(xiàn)。二、不合格及糾正措施近1年內(nèi)部審核和其他評審檢查中，在內(nèi)審中出現(xiàn)1項不符合項，部門采取了加強

33、培訓教育的糾正措施，進行了整改。相關(guān)方反饋 本部門通過發(fā)放回收滿意度調(diào)查表和通過詢問相關(guān)方，獲取相關(guān)反饋信息，并對反饋信息進行了分析評價，公司根據(jù)反饋信息做出了改進。四、持續(xù)改進的機會加強培訓、加強管理。提高工作人員能力，增強員工意識。管理評審輸入報告編號：JLWJ2020-GP-02部門技術(shù)部編制人部門負責人時間2020.10.27一、技術(shù)部信息安全目的實現(xiàn)情況機密信息泄密事件=0次大面積感染病毒次數(shù)=0次成功防范黑客攻擊率=100%重要信息備份技術(shù)率=100%計算機故障處理完成率=100%產(chǎn)品及時完成率=100%根據(jù)統(tǒng)計情況，本部門的所有目標均達成，希望在部門人員繼續(xù)努力下，保證信息安全目

34、標持續(xù)實現(xiàn)。二、不合格及糾正措施近1年內(nèi)部審核和其他評審檢查中，在內(nèi)審中出現(xiàn)1項不符合項，部門采取了加強培訓教育的糾正措施，進行了整改。三、持續(xù)改進的機會加強培訓、加強管理。提高工作人員能力，增強員工意識。管理評審輸入報告編號：JLWJ2020-GP-02部門信息安全管理委員會編制人會長時間2020.10.27一、信息安全管理委員會信息安全目的實現(xiàn)情況不可接受風險處理率=100%根據(jù)統(tǒng)計情況，本管理委員會的所有目標均達成，希望在管理委員會人員繼續(xù)努力下，保證信息安全目標持續(xù)實現(xiàn)。二、不合格及糾正措施近1年內(nèi)部審核和其他評審檢查中，無不符合項。監(jiān)視和測量結(jié)果針對公司業(yè)務軟件研發(fā)、網(wǎng)站建立等業(yè)務，

35、實施監(jiān)控和測量，對研發(fā)、建立、設計過程進行監(jiān)控，和產(chǎn)品的測試，杜絕出現(xiàn)不合格品和出現(xiàn)信息安全風險。通過對監(jiān)視和測量結(jié)果，分析評價，確保得到合格的產(chǎn)品。四、風險評估結(jié)果及風險處置計劃的狀態(tài)公司通過內(nèi)審、定期和不定期檢查和外部檢查等檢查出風險和潛在風險，通過對風險進行評估分析，確定風險等級和風險責任，根據(jù)風險評估報告制定了風險處置計劃，根據(jù)計劃內(nèi)容已經(jīng)對風險進行了有效的處理控制。具體查看風險和機遇識別評估處置表五、持續(xù)改進的機會 加強管理管理評審輸入報告編號：JLWJ2020-GP-02編制人管理者代表時間2020.10.27一、公司信息安全目的完成情況不可接受風險處理率=100%機密信息泄密事件

36、=0次重大突發(fā)事件=0次d）客戶滿意度=90% 根據(jù)統(tǒng)計情況，公司的所有目標均達成，希望在全體人員繼續(xù)努力下，保證信息安全目標持續(xù)實現(xiàn)。與信息安全管理體系相關(guān)的外部和內(nèi)部事項的變化 公司組織結(jié)構(gòu)、信息安全方針、信息安全目標、主要的管理體系文件（管理手冊、程序文件、操作規(guī)程等）沒有發(fā)生變化，外部（法律法規(guī)、經(jīng)濟、競爭環(huán)境等）未發(fā)生較大變化。三、審核結(jié)果近1年內(nèi)部審核和其他評審檢查中，在內(nèi)審中出現(xiàn)1項不符合項，部門采取了加強培訓教育的糾正措施，進行了整改。四、持續(xù)改進的機會加強培訓、加強管理。提高工作人員能力，增強員工意識。管理評審會議記錄編號：JLWJ2020-GP-03主持人總經(jīng)理記錄人XXX

37、地 點會議室時 間2020年11月1日參會人員總經(jīng)理、管理者代表、綜合部負責人、業(yè)務部負責人、技術(shù)部負責人、信息安全管理委員會全體評審目的通過管理評審，檢查公司信息安全管理體系運行情況，驗證適宜性、充分性、有效性。會議記錄：1.首先由公司總經(jīng)理發(fā)表講話，對進行管理評審的目的做出說明。管理評審目的：通過管理評審，檢查公司信息安全管理體系運行情況，驗證適宜性、充分性、有效性。2.管理者代表、信息安全委員會會長和部門負責人就評審內(nèi)容進行匯報。綜合部：不符合和糾正措施、信息安全目的完成情況、持續(xù)改進的機會。業(yè)務部：不符合和糾正措施、信息安全目的完成情況、相關(guān)方反饋、持續(xù)改進的機會。技術(shù)部：不符合和糾正措施、信息安全目的完成情況、持續(xù)改進的機會。信息安全管理委員會：不符合和糾正措施、信息安全目的完成情況、持續(xù)改進的機會、監(jiān)視和測量結(jié)果、風險評估結(jié)果及風險處置計劃的狀態(tài)。管理者代表：以往管理評審提出的措施的狀態(tài)、與信息安全管理體系相關(guān)的外部和內(nèi)部事項的變化、審核結(jié)果、信息安全目的完成情況、持續(xù)改進的機會。3.參會人員對管理評審匯報的內(nèi)容和進行了充分的討論，總經(jīng)理對各部門負責人和管理者代表提出的改進措施予以支持，提出了不足之處和