ISMS管理评审报告
会议时间
XXX
地 点
主 持 人
评审目的：
评审XXX信息安全管理体系的适用性、充分性、有效性, 评价信息安全管理体系是否符合标准要求,寻找信息安全管理体系可以改进的机会。
□例行评审 □临时评审 □其他
参加评审的人员：
评审内容摘要：
信息安全管理体系建设和运行状况总结；
XXXISMS从导入至今，经过各部门的大力参与支持，提高了广大员工的信息安全意识，获得管理层的认可。
信息安全方针和信息安全目标的适用性和执行情况；
目前的方针和目标能够反映出XXX管理层对信息安全方面的总要求，满足国家、投资者，方针和目标是通过具体的管理制度和控制措施进行实施的，方针和目标在这些制度和措施中能够体现。
统计结果显示，各项信息安全目标均已达成。
ISMS内审和管理评审的结果；
体系自运行起通过了2次内审、1次管理评审，对于内审中发现的问题项已要求责任部门进行整改。
相关方的反馈；
央行《非金融机构支付服务信息技术管理指引》要求；
相关方尚无对XXX信息安全方面的投诉。
组织用于改进ISMS 执行情况和有效性的技术、产品或程序；
计划部署终端管理系统来管理用户的接入和对病毒进行防护。
预防和纠正措施的状况；
体系在推行过程中发现问题有对各部门整改要求，各制订落实了相应措施，
以往风险评估没有充分强调的脆弱点或威胁；
尚未发现风险评估中未识别出的威胁和弱点。
有效性测量的结果；
对高、中风险控制措施有效性测量结果显示，大部分控制措施实施有效，少部门控制措施由于经费、技术或实施周期原因，还未实施，要抓紧实施。
以往管理评审的跟踪措施；
以前未进行过管理评审，此次管理评审是第一次。
可能影响ISMS 的任何变更；
未发现可能影响ISMS的重大变更。
改进建议，4个需要讨论决策的议题：
如何提升员工的安全意识；
落实风险评估中所采取的控制措施；
提升各部门对ISMS重视程度，加快安全保障体系的建设；
信息安全人员不足的情况。
评审结论：
XXX信息安全管理体系（ISMS）自2010年11月启动，已完成体系建设工作，目前正处于ISMS全面运行阶段，XXX的信息安全体系符合度有大幅提升，基本能够满足ISO27001：2005标准要求，管理层认为XXX的信息安全工作做得还是比较到位，管理层对ISMS体系建设和体系运行效果比较满意，希望信息安全小组将ISMS持续运行工作做好，将信息安全工作体现在日常工作中。XXX将在2011年6月份完成ISMS的认证审核工作。
与会人员认为XXXISMS的信息安全方针和信息安全目标是充分的、适宜的、有效的，本年度的各项信息安全目标已达成，XXX的信息安全管理体系（ISMS）在有效运行、安全小组及各部门在信息安全方面的工作是务实而富有成效的，包括欧亿·体育（中国）有限公司监管部门、承包商、内部员工等在内的各方人员对XXX的信息安全管理体系（ISMS）比较满意，至今未发生针对XXX信息安全的投诉事件、未发生影响XXXISMS的重大变更。在XXX信息安全管理体系（ISMS）导入和运行过程中，发现的各类问题和潜在问题，项目组、安全小组已组织各相关部门进行整改，整改工作积极、务实。对于有助于改进XXX信息安全管理的技术、产品和方法，主要由XXX相关部门负责引进、研究和实施，计划部署实施的终端安全管理项目，对于提高XXX信息安全管理能力能够起到很好的作用。
XXX的信息安全管理体系（ISMS）在半年多的运行中，进行了1次风险评估、1次内审。针对风险评估中的超过XXX可接受标准的