1
ISMS 管理评审报告
会议时间 XXX 地 点 主 持 人
评审目的:
评审 XXX 信息安全管理体系的适用性、充分性、有效性, 评价信息安全管理体系是否符合标准要求,寻
找信息安全管理体系可以改进的机会。
□例行评审 □临时评审 □其他
参加评审的人员:
评审内容摘要:
信息安全管理体系建设和运行状况总结;
XXXISMS 从导入至今,经过各部门的大力参与支持,提高了广大员工的信息安全意
识,获得管理层的认可。
信息安全方针和信息安全目标的适用性和执行情况;
目前的方针和目标能够反映出 XXX 管理层对信息安全方面的总要求,满足国家、投
资者,方针和目标是通过具体的管理制度和控制措施进行实施的,方针和目标在这些
制度和措施中能够体现。
统计结果显示,各项信息安全目标均已达成。
ISMS 内审和管理评审的结果;
体系自运行起通过了 2 次内审、1 次管理评审,对于内审中发现的问题项已要求责任
部门进行整改。
相关方的反馈;
央行《非金融机构支付服务信息技术管理指引》要求;
相关方尚无对 XXX 信息安全方面的投诉。
组织用于改进 ISMS 执行情况和有效性的技术、产品或程序;
计划部署终端管理系统来管理用户的接入和对病毒进行防护。
预防和纠正措施的状况;
体系在推行过程中发现问题有对各部门整改要求,各制订落实了相应措施,
以往风险评估没有充分强调的脆弱点或威胁;
尚未发现风险评估中未识别出的威胁和弱点。
有效性测量的结果;
对高、中风险控制措施有效性测量结果显示,大部分控制措施实施有效,少部门控制
2
措施由于经费、技术或实施周期原因,还未实施,要抓紧实施。
以往管理评审的跟踪措施;
以前未进行过管理评审,此次管理评审是第一次。
可能影响 ISMS 的任何变更;
未发现可能影响 ISMS 的重大变更。
改进建议,4 个需要讨论决策的议题:
如何提升员工的安全意识;
落实风险评估中所采取的控制措施;
提升各部门对 ISMS 重视程度,加快安全保障体系的建设;
信息安全人员不足的情况。
评审结论:
XXX 信息安全管理体系(ISMS)自 2010 年 11 月启动,已完成体系建设工作,目前正处于
ISMS 全面运行阶段,XXX 的信息安全体系符合度有大幅提升,基本能够满足 ISO27001:2005 标
准要求,管理层认为 XXX 的信息安全工作做得还是比较到位,管理层对 ISMS 体系建设和体系运
行效果比较满意,希望信息安全小组将 ISMS 持续运行工作做好,将信息安全工作体现在日常工
作中。XXX 将在 2011 年 6 月份完成 ISMS 的认证审核工作。
与会人员认为 XXXISMS 的信息安全方针和信息安全目标是充分的、适宜的、有效的,本年
度的各项信息安全目标已达成,XXX 的信息安全管理体系(ISMS)在有效运行、安全小组及各部
门在信息安全方面的工作是务实而富有成效的,包括行业监管部门、承包商、内部员工等在内的
各方人员对 XXX 的信息安全管理体系(ISMS)比较满意,至今未发生针对 XXX 信息安全的投诉
事件、未发生影响 XXXISMS 的重大变更。在 XXX 信息安全管理体系(ISMS)导入和运行过程
中,发现的各类问题和潜在问题,项目组、安全小组已组织各相关部门进行整改,整改工作积
极、务实。对于有助于改进 XXX 信息安全管理的技术、产品和方法,主要由 XXX 相关部门负责
引进、研究和实施,计划部署实施的终端安全管理项目,对于提高 XXX 信息安全管理能力能够起
到很好的作用。
XXX 的信息安全管理体系(ISMS)在半年多的运行中,进行了 1 次风险评估、1 次内审。针
对风险评估中的超过 XXX 可接受标准的风险,经 XXX 管理层同意暂时接受,并采取措施继续进
行解决,以降低或减少其风险;XXX 目前制订的风险可接受标准是合适的;安全小组对 XXX 的
信息安全管理体系控制措施有效性进行了测量,测量结果显示,大部分控制措施是有效的,少量
控制措施因实施周期、经费等原因正在实施中。内审中发现的问题项,已由责任部门进行整改,
对于整改情况,将由内审组进行跟踪验证。
3
XXX 于 2011 年 5 月进行过一次全面内审,此次内审范围覆盖了公司所有部门。本次内审发现
的问题点已制定纠正预防措施和改善计划,各部门已明确了责任人来实施和跟进改进计划的实
施。
管理层对 4 个需要讨论决策的议题做出如下决策:
加强对安全事件的总结、反馈,并安排所有员工进行培训和学习,已经安装了“安全易视”
以便进一步提高员工安全意识;
制定风险处理计划,明确责任人、预计完成时间、并对完成情况进行跟踪说明,从而促进
风险控制措施的落实,同时通过安全自查的方式来检查自己所属部门的风险评估中的控制
措施的落实情况,对于无法落实的控制措施应说明理由,对于可落实而未落实的控制措施
应编写纠正预防措施,切实保证控制措施的落实;
通过高层会议来宣讲 ISMS 的重要性,从而促进各部门对控制措施的落实和实施自检机
制;
明确信息安全人员招聘为现阶段人力工作重点,信息安全部与人力资源部配合招聘信息安
全人员。
(如写不下,可另附页)
改进、纠正、预防措施摘要及责任部门:
XX 负责公司信息安全工作开展,对 ISMS 体系建设情况进行责任落实和项目跟踪;
XX 解决信息安全人力不足的情况。
制 定 XX 审 核 XX 批 准 XX
日 期 XXX 日 期 XXX 日 期 XXX
