管理评审报告（ISO27001及ISO20000管理体系

提示点↑蓝字关注，学体系管理知识！点可！

广东××科技有限公司

管理评审报告

编 制 人：沉**

批 准 人：黄**

2019年7月5日

为验证公司体系文件的适宜性、充分性和有效性，评价和寻求信息安全和服务管理体系改进的机会和变更的需要（包括管理方针和管理目标），根据《管理手册》和2019年管理评审计划的要求，公司在2019年7月5日下午13点-15点在公司会议室召开2019年管理评审会议。本次会议由管理者代表主持，公司管理委员会成员、管理者代表、各部门代表、内审员参加。本次管理评审的内容包括：

信息安全体系

1.以往内部审核的结果；

2.相关方的反馈；

3.现行信息安全管理体系的整体有效性、适应性和充分性。

4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；

5.预防和纠正措施的状况；

6.风险评估没有充分强调的脆弱性或威胁；

7.有效性测量的结果；

8.任何可能影响信息安全管理体系的变更；

9.改进的建议。

服务管理体系：

1.年度公司服务体系运行情况；

2.客户满意度调查/投诉/服务质量分析报告；

3.人力资源提供情况分析；

4.预结算执行情况分析；

5.采购及供应商管理情况分析；

6.服务管理体系的方针和目标的适宜性和符合性分析；

7.服务管理体系的持续改进需求。

管理评审会议上，管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结，并对下阶段工作提出要求。

管理评审内容具体如下：

一、信息安全和服务管理体系审核和评审以及外审的结果

管理者代表在会上对管理体系的建立和运行情况进行了分析：

（一）体系建设和运行情况

1.我公司自成立管理体系贯标领导机构以来，人员组成和职责得以实现。

2.贯标期间，配合咨询公司对我公司进行书面调查，现场了解现有信息资产状况及风险管理要求，现有的信息安全和服务管理文件及执行情况，收集相关的信息，明确信息安全和服务管理体系目前存在的问题和需要改进的方向。

3.公司在贯标期间，在参加外部培训的同时，针对体系运行的不同阶段，制定有本公司内部培训计划，组成本公司管理体系的内部专家和内部审核员队伍，并按计划进行了内审。

4.根据公司体系文件要求，制定了《信息安全风险评估计划》，成立了公司内部风险评估小组，对公司现行的业务进行系统分析，并独立完成信息安全风险评估报告。

5.针对高风险制定的控制措施进行了验证。

6.完成了体系文件的编写审核和发布，形成完善的信息安全和服务管理体系。

7.贯标内审与管理评审均能正常开展，体系执行的符合性得以验证，并对文件的有效性进行验证。根据标准的要求，建立了公司完整的信息安全和服务管理体系，确定有效的信息安全和服务的方针和管理手册。

8.完成了体系合并后的残余风险的分析，通过有效控制，所有风险均得到控制，达到可接受的风险等级。

9.在贯标过程中，公司通过会议等方式进行信息沟通交流。

（二）内部审核的情况

为验证公司信息安全和服务活动符合性和有效性，组织了信息安全和服务管理体系内审，也是体系文件发布后第一次内审。内审中共发现1个不符合项，没有发现严重不符合项存在，一些安全隐患均得以控制和改善。审核发现问题主要有以下几个方面：

1.信息安全管理意识仍需加强。

2.由于公司在体系运行实施虽有一段时间，但有关记录的填写仍存在不完善现象。

针对上述问题，我们按照“贯标是手段、是载体而不是目的，体系文件写到要做到，做到要有效，有效要检查，检查要考核闭环管理”的要求 ，一一落实责任部门进行整改。各单位/部门对内审工作较为重视，部门负责人和专职全程参与了内审，根据内审报告制定了纠正计划，按照文件要求按时整改。

通过内审，对标准以及体系文件进行了再学习，大家对信息安全和服务管理有了更进一步的理解，执行起来也更为顺畅。以往各专业条款的管理力度较大，横向的交流相对欠缺，虽然各有各的特点和长处，平时不易接触和学习到，通过这次贯标，进行了跨专业的检查，也起到了互相学习、共同进步的效果。通过实践，我们的信息安全和服务管理体系更加符合我们的实际工作，运行更加有效。

本次内部审核，我们认为公司的信息安全管理体系实施运行基本可行，体系运行正常有效。

二、相关方的反馈

我公司信息系统，贯标以来信息安全管理状况不断完善，未收到内部或外部相关方的有关投诉和上级批评，小问题基本能够在沟通中妥善解决，以达到相关方满意。

三、现行信息安全管理体系的整体有效性、适应性和充分性

就目前看，我公司建立的信息安全管理体系已基本符合标准和公司信息安全方针的要求，并逐步得到有效的运行，已在信息安全管理上获得了较好的作用。我们的信息安全管理体系虽已步入正常运行，但旧的思维方式和工作方法还没有完全改观，不熟悉体系文件，执行不到位的现象还客观存在，少部分人员的信息安全意识还有待加强。

四、用于改进信息安全管理体系业绩和有效性的技术、产品或程序

通过资产识别和风险评估来建立新的信息安全管理体系文件，资产识别共涉及到管理层、行政中心、研发中心、工程中心、经营管理中心；对识别的公司信息资产进行评价，评估出重要信息资产，并给重要资产进行风险赋值。经本次风险评估发现，本公司的主要信息资产仍为信息系统软件开发数据、涉密文档资料；主要风险前期运行中已得以有效控制，当前风险仍涉及信息系统安全管理方面、涉密文档管理方面。

五、预防和纠正措施的状况

公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发现存在问题，并对存在问题的原因进行分析，制定相应的纠正措施，各部门进行有效控制。通过实施验证，发现纠正措施实施有效，对防止问题的再次发生，起到有效预防作用。

六、风险评估产生充分强调的脆弱性或威胁

随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工信息安全意识的提高，对风险有了新的认识或产生新的风险，因此，应按规定周期连续进行风险评估。

七、有效性测量的结果

我公司信息安全的目标为重大信息安全事件（事故）为零。为完成公司的信息安全目标，公司通过多种渠道进行检测和分析，如制定文件，明确达成目标中所遇到的风险的监控，包括对风险处理计划执行的监测，风险等级的分析检测，网络访问的检查，技术符合性的监测以及安全日志审核以及安全事件的监督等。通过各种手段的监测，我公司信息安全达到规定的目标，目前没有发生重大信息安全事件，事故为0。

八、任何可能影响信息安全管理体系的变更

目前公司的体系运行正常，尚无重大变更。

九、改进的建议

我公司的信息安全贯标工作，是由各部门积极投入到贯标工作中来，项目进度控制合理，总体来说实施质量较好，发现并处理了一批隐藏较深的重大隐患，建立了系统化的信息安全管理控制体系，大大提高了信息安全风险的掌控能力。在看到成绩的同时，我们也应看到信息安全贯标工作的复杂性。

1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件的运行效率，通过体系外审视最近的目的。

2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。

3、加强对变更后威胁的认识，并据此完善调查制度，逐步建设一套完善的应急监测、响应系统。

4、进一步加强数据储存机房内部管理，不断提高管理的应用的水平，尽快完善同步备份制度，尽量减少储存的备份时差。

5、进一步了解管理部门、社会各界需求业的需求，细分这些需求，逐步满足这些需求，增强本公司竞争力。

6、日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前有足够的时间准备，降低忙中出错的几率。

十、服务管理体系运行总结

2019年公司IT服务管理体系运行情况、顾客满意度测评、供应商管理及客户服务实施情况总结。

2019年度管理评审会议采取专题会议的形式进行针对性的讨论、研究和部署。截至2019年7月底，公司先后在专题会议上，对以上四个方面的运行情况进行了分析、评议。公司认为：

1、公司现针对目前业务运行情况，对过程体系进行了整合，流程的运作效率提高了很多。

2、在顾客满意度方面，各项分值指标稳定，表明顾客对我公司提供服务持续保持较高的满意度和重程度。

3、在供应商管理方面，公司本年度新增了一些新的供应商，通过与供应商的良好合作、有效管理，为项目的顺利实施提供了有利保障。

4、服务目标评审

目标内容

安全指标

数据来源

测量结果

是否达标

客户回访满意率

>=90%

满意度调查

92.5%

达标

事件解决率

>=95%

事件记录

96%

达标

客户投诉及时处理率

>=95%

投诉记录

97%

达标

重大变更成功率

>=95%

变更记录

98.5%

达标

公司在进行了专项评议后，作出以下决定：过程运作在遵从规范的前提下，尽量提高运作效率。

从以上管理评审的评议中，公司对今年流程管理作出的结论是：现有IT服务体系与公司管理状况基本符合，能较为充分地指导各过程的规范运行，体系是适宜的。

【体系管理】