ISMS管理评审报告 会议时间 XXX 地 点 主 持 人 评审目的： 评审XXX信息安全管理体系的适用性、充分性、有效性, 评价信息安全管理体系是否符合标准要求,寻找信息安全管理体系可以改进的机会。 □例行评审 □临时评审 □其他 参加评审的人员： 评审内容摘要： 信息安全管理体系建设和运行状况总结； XXXISMS从导入至今，经过各部门的大力参与支持，提高了广大员工的信息安全意识，获得管理层的认可。 信息安全方针和信息安全目标的适用性和执行情况； 目前的方针和目标能够反映出XXX管理层对信息安全方面的总要求，满足国家、投资者，方针和目标是通过具体的管理制度和控制措施进行实施的，方针和目标在这些制度和措施中能够体现。 统计结果显示，各项信息安全目标均已达成。 ISMS内审和管理评审的结果； 体系自运行起通过了2次内审、1次管理评审，对于内审中发现的问题项已要求责任部门进行整改。 相关方的反馈； 央行《非金融机构支付服务信息技术管理指引》要求； 相关方尚无对XXX信息安全方面的投诉。 组织用于改进ISMS 执行情况和有效性的技术、产品或程序； 计划部署终端管理系统来管理用户的接入和对病毒进行防护。 预防和纠正措施的状况； 体系在推行过程中发现问题有对各部门整改要求，各制订落实了相应措施， 以往风险评估没有充分强调的脆弱点或威胁； 尚未发现风险评估中未识别出的威胁和弱点。 有效性测量的结果； 对高、中风险控制措施有效性测量结果显示，大部分控制措施实施有效，少部门控制措施由于经费、技术或实施周期原因，还未实施，要抓紧实施。 以往管理评审的跟踪措施； 以前未进行过管理评审，此次管理评审是第一次。 可能影响ISMS 的任何变更； 未发现可能影响ISMS的重大变更。 改进建议，4个需要讨论决策的议题： 如何提升员工的安全意识； 落实风险评估中所采取的控制措施； 提升各部门对ISMS重视程度，加快安全保障体系的建设； 信息安全人员不足的情况。 评审结论： XXX信息安全管理体系（ISMS）自2010年11月启动，已完成体系建设工作，目前正处于ISMS全面运行阶段，XXX的信息安全体系符合度有大幅提升，基本能够满足ISO27001：2005标准要求，管理层认为XXX的信息安全工作做得还是比较到位，管理层对ISMS体系建设和体系运行效果比较满意，希望信息安全小组将ISMS持续运行工作做好，将信息安全工作体现在日常工作中。XXX将在2011年6月份完成ISMS的认证审核工作。 与会人员认为XXXISMS的信息安全方针和信息安全目标是充分的、适宜的、有效的，本年度的各项信息安全目标已达成，XXX的信息安全管理体系（ISMS）在有效运行、安全小组及各部门在信息安全方面的工作是务实而富有成效的，包括欧亿·体育（中国）有限公司监管部门、承包商、内部员工等在内的各方人员对XXX的信息安全管理体系（ISMS）比较满意，至今未发生针对XXX信息安全的投诉事件、未发生影响XXXISMS的重大变更。在XXX信息安全管理体系（ISMS）导入和运行过程中，发现的各类问题和潜在问题，项目组、安全小组已组织各相关部门进行整改，整改工作积极、务实。对于有助于改进XXX信息安全管理的技术、产品和方法，主要由XXX相关部门负责引进、研究和实施，计划部署实施的终端安全管理项目，对于提高XXX信息安全管理能力能够起到很好的作用。 XXX的信息安全管理体系（ISMS）在半年多的运行中，进行了1次风险评估、1次内审。针对风险评估中的超过XXX可接受标准的风险，经XXX管理层同意暂时接受，并采取措施继续进行解决，以降低或减少其风险；XXX目前制订的风险可接受标准是合适的；安全小组对XXX的信息安全管理体系控制措施有效性进行了测量，测量结果显示，大部分控制措施是有效的，少量控制措施因实施周期、经费等原因正在实施中。内审中发现的问题项，已由责任部门进行整改，对于整改情况，将由内审组进行跟踪验证。 XXX于2011年5月进行过一次全面内审，此次内审范围覆盖了公司所有部门。本次内审发现的问题点已制定纠正预防措施和改善计划，各部门已明确了责任人来实施和跟进改进计划的实施。 管理层对4个需要讨论决策的议题做出如下决策： 加强对安全事件的总结、反馈，并安排所有员工进行培训和学习，已经安装了“安全易视”以便进一步提高员工安全意识； 制定风险处理计划，明确责任人、预计完成时间、并对完成情况进行跟踪说明，从而促进风险控制措施的落实，同时通过安全自查的方式来检查