评审日期：2009 年 4 月 1 日

评审目的：分析 2009 年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。

评审内容：

①  安全方针和目标是否正在实现，过去 4 个月中所取得的业绩是否达到、完成或超过安全 方针和目标的要求；

②  管理人员和监督人员过去 4 个月中管理与监督的状况，是否达到预期要求；

③  管理体系运行是否受控、是否有效（近期内审结果）；

④  纠正措施和预防措施执行情况如何；

⑤  听取资源充分性报告；

⑥  风险评估中提出的薄弱点或威胁；

⑦  客户反馈意见的汇总分析；

⑧  员工培训教育情况分析报告；

⑨  客户投诉及其处理情况汇总；

⑩  改进的建议；

⑪   其他日常管理议题。

评审组成员： 

评审意见和结论：

1、本公司按照 ISO27001：2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统 集成活动和电子验印、票据防伪系统的生产活动；从运行以来，管理体系得到了不断地改进 与完善，总体运行情况良好。

2、《ISMS  手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通 过努力正在逐步实现。

3、《ISMS 手册》中所列的控制项（133 项参数或指标）是真实的。与之相关联的机构和岗 位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资 源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。 上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动，内审共发现 9 个不 符合项，这些问题均已得到了纠正；纠正措施执行情况良好。

5、采用附录 A 中的 11 类控制方式，其中其中删减了 8 处，其余 125 个控制点得到了满意 的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。

6、我公司 2009  年度工作类型不会发生重大变化，工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加；为了进一步加强为客户的服务，提高自己的竞争能力，委 托监测软件的测量也可进一步增加

7、客户反馈的意见，如对信息安全的信心保证；2008 年未接到客户投诉，但通过认证是增 加信心的有效手段，顾客意见将得到满足。

8、内部控制活动正常，但信息沟通还需进一步通畅，员工自觉学习的氛围还没有形成，培训的方式要不断改进。

9、现场记录填写的质量存在问题较多，需进一步加强；内审员的监督作用需要加强并充分发挥。 综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件；并建立 了相应的组织机构、设置了相应的岗位、配备了相应的人员，其机构、岗位和人员的职责明确，配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有 效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系，对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。 

会议作出以下决议：

1、 现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。

2、 本公司各部门和全体人员、外包方都必须按照体系文件的规定，指导、约束自己的行为， 履行自己的岗位职责；应注意利用日常点检，不断确定持续改进的措施，实现本公司的信息 安全方针和目标。

3、 本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化，保证管理体系的 有效运行。

4、 由总经理及时完成本次管理评审报告；技术服务部负责整理本次管理评审记录并归档，同时传递给其他部门，输入下一年度计划。

5、 管理评审报告分发范围：各部门负责人和内审员。

ISO27001信息安全管理标准理解及内审员培训 

  ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表 

【课程描述】

ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。 

【课程帮助】

如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO27001内审员相关资料手册

【课程对象】

信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。 

【课程大纲】

第一部分：ISO27001：2005信息安全概述、标准条款讲解

◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。

◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。

◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。

◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。

◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。

第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）

◆ ISO27001与ISO9001、ISO14001的异同

◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件

◆ 如何将三体系整合降低公司的体系运行成本

◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

第三部分：信息安全管理体系内部审核技巧和认证应对案例分析

◆ ISO27001：2005标准对内审员的新要求

◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法

◆ 如何应对认证公司的认证审核、监督审核、案例分析

◆ 考试 >>> 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”

对今后工作的改进要求：

1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件 的运行效率，通过体系外审视最近的目的。

2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相 关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。

3、进一步完善应急预案编制，加强对威胁的认识，并据此完善调查制度，逐步建设一套完 善的应急监测、响应系统。

4、进一步加强数据储存机房内部管理，不断提高管理的应用的水平，尽快完善同步备份制 度活着尽量减少储存的备份时差。

5、进一步了解管理部门、社会各界需求及园区企业的需求，细分这些需求，逐步满足这些 需求，增强本公司竞争力。

6、 日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前 有足够的时间准备，降低忙中出错的几率。

7、责成网络部，尽快完成支持业务可持续性设备的科学演练。

8、加强对纠正预防措施处理意见的学习，上半年派相关人员前往咨询机构做进一步的学习 交流，提高本公司纠正预防能力。畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、 重点客户的关注程度。

9、上述的输出，要在下次监督审核以前完成，责成各主管职能部门经理监督负责。 

管理者代表：

总经理： 

日期：  2009 年 4 月 1 日下载本文