JF02管理評審程序01管理評審計劃.DOC02管理評審通知單.doc03管理評審會議簽到表.doc04管理評審會議記錄.doc05信息安全管理體系運行情況報告.doc06管理評審報告.DOC編號:

管理評審計劃評審目的：一．對信息安全管理體系的適宜性、充分性和有效性等進行評價。二．對是否需要更改企業(yè)的信息安全管理體系質(zhì)量方針和目標做出評價。三．對信息安全管理體系的現(xiàn)行狀況和改進機會進行評價。四．對申請認證審核的可行性提供依據(jù)。評審參加部門、人員：信息安全管理者代表;信息安全小組成員評審時間： 地點：管理評審輸入序號匯報內(nèi)容主要匯報部門1信息安全管理體系方針安全小組2內(nèi)、外部審核結果和合規(guī)性評價的結果；安全小組3預防措施與糾正措施實施狀況；安全管代4風險評估未考慮的威脅和薄弱點；安全管代5有效性測量、考核情況及建議；安全管代6信息安全管理體系變更和改進的建議全體各部門需準備資料（包括口頭發(fā)言和建議：信息安全管理體系運行的改進建議；本部門相關的外部反饋意見；本部門改進信息安全管理體系績效的技術、產(chǎn)品和程序；預防和糾正措施的實施情況；本部門相關的有效性測量、考核情況及建議；風險評估未考慮的威脅和薄弱點；提供的資源滿足需要的情況；與本部門相關的其它情況；信息安全管理體系變更和改進的建議。編制：信息安全小組審核：批準：日期：日期：日期：管理評審通知單經(jīng)研究決定，年 月 日，在_ 舉行_ _管理評審會議，望準時參加！請各部門于會議開始前1天向 信息安全管理組長 提供如下資料和信息：信息安全管理體系運行的改進建議；本部門相關的外部反饋意見；本部門改進信息安全管理體系績效的技術、產(chǎn)品和程序；預防和糾正措施的實施情況；本部門相關的有效性測量、考核情況及建議；風險評估未考慮的威脅和薄弱點；提供的資源滿足需要的情況；與本部門相關的其它情況；信息安全管理體系變更和改進的建議。年月日管理評審會議簽到表編號： 日期： 年 月 日序號姓名簽到序號姓名簽到1.21.2.22.3.23.4.24.5.25.6.26.7.27.8.28.9.29.10.30.11.31.12.32.13.33.14.34.15.35.16.36.17.37.18.38.19.39.20.40.管理評審會議記錄編號：管理評審時間管理評審地點公司會議室主持人記錄人參加人：會議發(fā)言記錄：ISO27001XX在未來加強正版化軟件的意見，從成本上考慮，建議多考慮開源項目。公司的信息安全獎罰現(xiàn)在還沒有有效地實施起來，希望在以后真正分解，落實。機房的斷電風險依然存在，需要考慮添加相應設備。對于我公司的信息安全運行無重大事件向信息安全小組表示感謝。對于公司的環(huán)境改造,公司將盡快籌劃,歡迎各部門提出建議。部門：信息安全管理者代表信息安全管理組長日期報告人評審項目評審內(nèi)容（1）信息安全管理方針適用性，目標的測量；信息安全管理方針和目標測量在本部門有效實施，符合目前公司的實際情況。（2）管理體系的審核結果，包括內(nèi)審、外審結果及其它形式的審核結果；無（3）用于改善信息安全管理體系性能和有效性的技術、產(chǎn)品和程序，包括信息安全管理方案的確定、執(zhí)行等；無（4）改進、預防和糾正措施的狀況，包括對內(nèi)部審核和日常發(fā)現(xiàn)的不合格項采取的糾正和預防措施的實施及其有效性的監(jiān)控結果；目前未發(fā)現(xiàn)糾正預防工作的失效.（5）以前風險評估中沒有充分表達的威脅和薄弱點，以及風險的重新評估；暫無發(fā)現(xiàn).（6）可能影響到信息安全管理體系的變更，包括公司組織結構、資源配置發(fā)生重大變化、信息安全技術發(fā)生變化、公司的商業(yè)目標或商業(yè)運作流程發(fā)生變化、信息安全法律、法規(guī)發(fā)生變化、發(fā)生重大信息安全事件等；無（7）改進建議。增加員工培訓;加強正版化建設;改善辦公環(huán)境管理評審報告評審會議時間、地點：公司辦公室評審目的：一．對質(zhì)量管理體系的適宜性、充分性和有效性等進行評價。二．對是否需要更改企業(yè)的質(zhì)量管理體系質(zhì)量方針和目標做出評價。三．對質(zhì)量管理體系的現(xiàn)行狀況和改進機會進行評價。四．對申請認證審核的可行性提供依據(jù)參加評審部門、人員：總經(jīng)理;信息安全管理者代表;信息安全小組本次評審輸入信息1信息安全管理體系方針的適宜性、充分性和有效性,目標、指標的完成情況；2內(nèi)、外部審核結果和合規(guī)性評價的結果；4預防措施與糾正措施實施狀況；5風險評估未考慮的威脅和薄弱點；8可能影響信息安全管理體系的變更的情況9信息安全管理體系變更和改進的建議公司安全目標落實、執(zhí)行和實現(xiàn)情況：部門目 標 值考核辦法考核頻次達成情況生產(chǎn)部197%。以每月生產(chǎn)的合格數(shù)量計以相關檢驗記錄為依據(jù)1次/月達成2、保密紙丟失不超過1起。以每月成品批數(shù)量計以相關檢驗記錄為依據(jù)達成3、確保檢測設備使用在有效期內(nèi)，按時校準率為100%。依據(jù)檢測儀器臺帳、檢定計劃表及相關的檢定合格證書1次/半年達成4、產(chǎn)品按規(guī)定的抽樣規(guī)則檢驗，漏檢率為0。依據(jù)相關檢驗記錄1次/月達成辦公室1、IT設備大面積病毒爆發(fā)不超過2起。以辦公室收集的數(shù)據(jù)為準1次/半年達成2、員工培訓合格率達100%。根據(jù)所制定的培訓計劃及考核結果情況進行測量1次/半年達成財務室重要設備盤點范圍達到100%。以財務系統(tǒng)中的數(shù)據(jù)為準1次/年達成財務數(shù)據(jù)泄密不超過1起以辦公室收集的數(shù)據(jù)為準1次/半年達成體系總體評價：信息安全管理體系持續(xù)適宜性：適宜 □基本適宜 □不適信息安全管理體系持續(xù)充分性：□充分 比較充分 □不充信息安全管理體系持續(xù)有效性：□有效 基本有效 □無效公司安全方針的評價： 適宜 □基本適宜 □不適宜公司安全目標的評價： 全部適宜 □基本適宜 □部分