信息安全管理体系管理评审报告
评审日期：2009 年 4 月 1 日
评审目的：分析 2009 年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。
评审内容：
① 安全方针和目标是否正在实现，过去 4 个月中所取得的业绩是否达到、完成或超过安全 方针和目标的要求；
② 管理人员和监督人员过去 4 个月中管理与监督的状况，是否达到预期要求；
③ 管理体系运行是否受控、是否有效（近期内审结果）；
④ 纠正措施和预防措施执行情况如何；
⑤ 听取资源充分性报告；
⑥ 风险评估中提出的薄弱点或威胁；
⑦ 客户反馈意见的汇总分析；
⑧ 员工培训教育情况分析报告；
⑨ 客户投诉及其处理情况汇总；
⑩ 改进的建议；
? 其他日常管理议题。
评审组成员：
评审意见和结论：
1、本公司按照 ISO27001：2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统 集成活动和电子验印、票据防伪系统的生产活动；从运行以来，管理体系得到了不断地改进 与完善，总体运行情况良好。
2、《ISMS 手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通 过努力正在逐步实现。
3、《ISMS 手册》中所列的控制项（133 项参数或指标）是真实的。与之相关联的机构和岗 位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资 源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。
4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。 上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动，内审共发现 9 个不 符合项，这些问题均已得到了纠正；纠正措施执行情况良好。
5、采用附录 A 中的 11 类控制方式，其中其中删减了 8 处，其余 125 个控制点得到了满意 的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。
6、我公司 2009 年度工作类型不会发生重大变化，工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加；为了进一步加强为客户的服务，提高自己的竞争能力，委 托监测软件的测量也可进一步增加
7、客户反馈的意见，如对信息安全的信心保证；2008 年未接到客户投诉，但通过认证是增 加信心的有效手段，顾客意见将得到满足。
8、内部控制活动正常，但信息沟通还需进一步通畅，员工自觉学习的氛围还没有形成，培训的方式要不断改进。
9、现场记录填写的质量存在问题较多，需进一步加强；内审员的监督作用需要加强并充分发挥。 综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件；并建立 了相应的组织机构、设置了相应的岗位、配备了相应的人员，其机构、岗位和人员的职责明确，配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有 效服务。由此建立的一个为达到