深圳市恒双展业科技有限公司
管 理 评 审 报 告
ISMS-0107-JL04
编 制： 曹飞澎
审 核： 汪倩
批 准： 汪倩
2020年03月30日
为验证公司信息安全管理体系的适宜性、充分性和有效性，评价和寻求信息安全管理体系改进的机会和变更的需要（包括安全方针和安全目标），根据《信息安全管理手册》和2020年度管理评审计划的要求，于2020年03月30日在公司召开了 2020年度管理评审会议。本次会议由总经理负责主持，公司各部门负责人均参加。本次管理评审的内容包括：
1.信息安全管理体系审核和评审的结果；
2.相关方的反馈；
3.用于改进信息安全管理体系业绩和有效性的技术、产品或程序；
4.预防和纠正措施的状况；
5.风险评估没有充果；分强调的脆弱性或威胁；
6.有效性测量的结
7.内审不符合项的跟踪验证；
8.任何可能影响信息安全管理体系的变更；
9．对策略集适宜性、充分性和有效性进行评审。
10.改进的建议。
管理评审会议上，管理者代表以及各部门负责人将信息安全管理体系的建立以及实施情况进行总结，并对下阶段工作提出要求。管理评审内容具体如下：
一、信息安全管理体系审核和评审的结果
管理者代表曹飞澎在会上对管理体系的建立和运行情况进行了分析汇报，体系建设和运行情况如下：
1．我公司成立信息安全管理小组，落实了人员组成和职责。
2．体系实施前期，信息安全管理委员会对我公司各部门进行调查，现场了解现有关信息资产状况及风险管理要求，现有的信息安全管理文件及执行情况，收集相关的安全信息，明确信息安全管理体系目前存在的问题和需要改进的方向。
3．参加内部审核员培训，培训多名信息安全内部审核员，组成本公司信息安全管理体系的内部审核员队伍。
4．制订了信息安全管理体系风险评估工作计划，组建了风险评估小组，对公司现行的业务进行系统分析，完成信息安全风险评估报告。
5．对存在的风险制订风险处置计划，落实责任人员和完成时间，对风险处理计划的执行情况进行监督检查。
6．完成体系文件的编写、审核和发布，形成完善的信息安全管理文件体系。
7．开展了内审工作，验证体系执行的符合性，并对文件的有效性进行验证。在内审后又一次对信息安全管理体系文件进行修改和完善。
8．完成残余风险的分析，并由总经理批准接受。其他风险通过有效控制，达到可接受的风险等级。
9．完成策略集适宜性、充分性和有效性评审，确认策略集是适宜的、充分的和有效的。
二、相关方的反馈
我公司信息系统属内部网络，体系实施以来信息安全管理状况不断完善，未收到内部的有关投诉和上级批评。
三、用于改进信息安全管理体系业绩和有效性的技术、产品或程序
通过对管理层、业务部、综合部、软件部的资产识别，并对识别的信息资产进行评价。通过本次风险评估，本公司的主要信息资产为信息系统数据、涉密文档资料，主要风险为三级风险，涉及信息系统安全管理方面、涉密文档管理方面。但对于即时通讯软件和人员的流员可能性的风险，根据公司目前的规模和状况，识别成高风险，并申请了残余风险，这些风险会随着公司规模的扩大和管理的提升相应减小。对识别的风险通过制订文件、有效设定账号口令、加强培训和管理等控制方法进行有效控制。
四、预防和纠正措施的状况
公司通过各种手段对存在的问题进行改正。体系运行中，公司通过内部审核发现存在问题，并对存在问题的原因进行分析，制订相应的纠正措施，各部门进行有效控制。通过实施验证，发现纠正措施实施有效，对防止问题的再次发生，起到有效预防作用。
五、风险评估没有充分强调的脆弱性或威胁
随着新的应用系统的不断投入使用，信息化程度越来越高，以及员工信息安全意识的提高，可能会对风险有新的认识或产生新的风险，因此应按规定周期连续进行风险评估。
六、有效性测量的结果
为完成公司的信息安全目标，公司通过多种渠道进行检测和分析，如制订文件，明确达成目标中所遇到的风险的监控，包括对风险处置计划