信息安全管理體系和信息服務(wù)管理體系運(yùn)行情況總結(jié)（匯報部門：綜合部）第一部分：ISMS審核和評審的結(jié)果1、信息安全和信息技術(shù)服務(wù)方針和目標(biāo)是正在實(shí)現(xiàn)過程中，方針文件經(jīng)過評審已經(jīng)發(fā)布?？紤]剛剛實(shí)行體系暫不作調(diào)整。過去1年中所取得的業(yè)績比較良好，目標(biāo)經(jīng)考核級別能實(shí)現(xiàn)；2、信息安全和信息技術(shù)服務(wù)內(nèi)外部組織協(xié)調(diào)順利，不存在溝通障礙。建立了內(nèi)外部專家名單和內(nèi)外部相關(guān)組織聯(lián)系單。3、信息安全和信息技術(shù)服務(wù)職責(zé)分配到位，且建立了相應(yīng)的授權(quán)機(jī)制。4、綜合管理部的資產(chǎn)管理到位，均有編號，對特別敏感的文件標(biāo)識出來單獨(dú)存放在文件柜中。目前所有資產(chǎn)均指定責(zé)任人。5、人力資源安全目前得到有效保障，對人員的任用之前、任用中、任用后均進(jìn)行適宜的信息安全考察，內(nèi)外部員工的保密協(xié)議已經(jīng)簽署完畢。體系組織結(jié)構(gòu)合理，能覆蓋全公司各個部門，崗位職責(zé)明確，相關(guān)數(shù)據(jù)材料尚在進(jìn)一步調(diào)整過程。6、物理環(huán)境防范措施得當(dāng)，未出現(xiàn)嚴(yán)重違反公司相關(guān)制度情況。7、部門內(nèi)規(guī)范了操作流程。對第三方服務(wù)的管理意識增強(qiáng)，第三方的保密合同正在落實(shí)晚上過程中。8、部門成員認(rèn)真執(zhí)行公司規(guī)定的網(wǎng)絡(luò)邏輯控制措施，辦公計(jì)算機(jī)的安全設(shè)置強(qiáng)度比以前增強(qiáng)。9、對信息的訪問控制嚴(yán)格遵守授權(quán)審批制度，根據(jù)不同的人員崗位制定了不同的權(quán)限。10、綜合管理部積極配合技術(shù)部門進(jìn)行信息系統(tǒng)的維護(hù)工作。11、安全事件的匯報機(jī)制得到建立，注重日常的監(jiān)督檢查管理。12、綜合管理部注重對ITSMS和ISMS符合性的評價。收集了相關(guān)的法律法和行業(yè)規(guī)范技術(shù)標(biāo)準(zhǔn)。由于體系建立的試卷不長，對其符合性評價需要持續(xù)進(jìn)行，并注重對法律法規(guī)收集的更新和評價。13、制定了年度的業(yè)務(wù)連續(xù)性計(jì)劃，對業(yè)務(wù)連續(xù)性的測試和評審有待繼續(xù)。14、綜合管理部積極配合各部門進(jìn)行運(yùn)維服務(wù)的預(yù)算工作。第二部門：相關(guān)方的反饋1、目前已建立暢通顧客意見的渠道，加強(qiáng)收集相關(guān)方的意見。2、本部門員工對信息安全和信息技術(shù)服務(wù)管理體系的認(rèn)可程度較高，態(tài)度很好。通過信息安全和信息技術(shù)服務(wù)管理體系的建設(shè)和實(shí)施，員工對公司的信息安全和信息技術(shù)服務(wù)管理信心上升。第三部分：用于改進(jìn)信息安全和信息技術(shù)服務(wù)執(zhí)行情況和優(yōu)先性的技術(shù)、產(chǎn)品或規(guī)程暫無第四部分：預(yù)防和糾正措施的狀況1、針對本次內(nèi)審發(fā)現(xiàn)的問題，制定了詳細(xì)的糾正和預(yù)防措施，經(jīng)過驗(yàn)證，現(xiàn)在均已得到關(guān)閉。2、我部門在對體系日常運(yùn)行中的預(yù)防和糾正措施的狀況進(jìn)行嚴(yán)格跟蹤，指定責(zé)任人和落實(shí)日期，驗(yàn)證結(jié)果整體良好。第五部分：以往風(fēng)險評估沒有充分強(qiáng)調(diào)的脆弱性或威脅上次風(fēng)險評估報告、可接受風(fēng)險等級、報告中提出的脆弱性或威脅得到減緩和消除現(xiàn)狀均能接受。第六部分：有效性測量的結(jié)果1、綜合管理部組織召開內(nèi)部審核驗(yàn)證公司體系運(yùn)行的有效性，審核組認(rèn)為：公司的信息安全和信息技術(shù)服務(wù)管理體系基本符合ISO/IEC27001-2022《信息安全網(wǎng)絡(luò)安全隱私保護(hù)安全管理體系要求》《ISO/IEC20000-1:2018信息技術(shù)服務(wù)管理體系要求》標(biāo)準(zhǔn)的要求，且運(yùn)行基本有效。2、管理人員和監(jiān)督人員過去一年中管理與監(jiān)督的狀況基本達(dá)到預(yù)期要求；3、管理體系運(yùn)行受控A）最高管理者帶動員工對滿足顧客和法律法規(guī)要求的重要性具有明確的認(rèn)識，能履行其承諾，管理職責(zé)明確，重視并參與對信息安全和信息技術(shù)服務(wù)管理體系的建立、保持和推動持續(xù)改進(jìn)活動。員工能準(zhǔn)確答出公司信息安全和信息技術(shù)服務(wù)方針和目標(biāo)，體系了全員參與。但個別職能部門信息安全和信息技術(shù)服務(wù)活動和人員中有責(zé)任不到位的情況。B）建立的信息安全和信息技術(shù)服務(wù)方針和信息安全和信息技術(shù)服務(wù)目標(biāo)適合于組織的特點(diǎn)，在組織內(nèi)得到溝通和理解，信息安全和信息技術(shù)服務(wù)目標(biāo)級別有可測量性；但部門信息安全和信息技術(shù)服務(wù)目標(biāo)的適宜性需進(jìn)一步修改，并應(yīng)對監(jiān)測方法進(jìn)一步改善。第七部分：以往管理評審的跟蹤措施體系建立以來，暫未進(jìn)行管理評審。第八部分：可能影響ISM