为验证公司体系文件的适宜性、充分性和有效性,评价和寻求信息安全和服务管理体系改进的机会和变更的需要(包括管理方针和管理目标),根据《管理手册》和XX年管理评审计划的要求,公司在20XX年X月X日下午13点-15点在公司会议室召开20XX年管理评审会议。本次会议由管理者代表主持,公司管理委员会成员、管理者代表、各部门代表、内审员参加。本次管理评审的内容包括:
信息安全体系
1.以往内部审核的结果;
2.相关方的反馈;
3.现行信息安全管理体系的整体有效性、适应性和充分性。
4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序;
5.预防和纠正措施的状况;
6.风险评估没有充分强调的脆弱性或威胁;
7.有效性测量的结果;
8.任何可能影响信息安全管理体系的变更;
9.改进的建议。
服务管理体系:
1.年度公司服务体系运行情况;
2.客户满意度调查/投诉/服务质量分析报告;
3.人力资源提供情况分析;
4.预结算执行情况分析;
5.采购及供应商管理情况分析;
6.服务管理体系的方针和目标的适宜性和符合性分析;
7.服务管理体系的持续改进需求。
管理评审会议上,管理者代表以及各部门负责人将信息安全和服务管理体系的建立以及实施情况进行总结,并对下阶段工作提出要求。
管理评审内容具体如下:
一、信息安全和服务管理体系审核和评审以及外审的结果
管理者代表在会上对管理体系的建立和运行情况进行了分析:
(一)体系建设和运行情况
1.我公司自成立管理体系贯标领导机构以来,人员组成和职责得以实现。
2.贯标期间,配合咨询公司对我公司进行书面调查,现场了解现有信息资产状况及风险管理要求,现有的信息安全和服务管理文件及执行情况,收集相关的信息,明确信息安全和服务管理体系目前存在的问题和需要改进的方向。
3.公司在贯标期间,在参加外部培训的同时,针对体系运行的不同阶段,制定有本公司内部培训计划,组成本公司管理体系的内部专家和内部审核员队伍,并按计划进行了内审。
4.根据公司体系文件要求,制定了《信息安全风险评估计划》,成立了公司内部风险评估小组,对公司现行的业务进行系统分析,并独立完成信息安全风险评估报告。
5.针对高风险制定的控制措施进行了验证。
6.完成了体系文件的编写审核和发布,形成完善的信息安全和服务管理体系。
7.贯标内审与管理评审均能正常开展,体系执行的符合性得以验证,并对文件的有效性进行验证。根据标准的要求,建立了公司完整的信息安全和服务管理体系,确定有效的信息安全和服务的方针和管理手册。
8.完成了体系合并后的残余风险的分析,通过有效控制,所有风险均得到控制,达到可接受的风险等级。
9.在贯标过程中,公司通过会议等方式进行信息沟通交流。
(二)内部审核的情况
为验证公司信息安全和服务活动符合性和有效性,组织了信息安全和服务管理体系内审,也是体系文件发布后第一次内审。内审中共发现3个不符合项,没有发现严重不符合项存在,一些安全隐患均得以控制和改善。审核发现问题主要有以下几个方面:
1.信息安全管理意识仍需加强。
2.由于公司在体系运行实施虽有一段时间,但有关记录的填写仍存在不完善现象。
针对上述问题,我们按照“贯标是手段、是载体而不是目的,体系文件写到要做到,做到要有效,有效要检查,检查要考核闭环管理”的要求 ,一一落实责任部门进行整改。各单位/部门对内审工作较为重视,部门负责人和专职全程参与了内审,根据内审报告制定了纠正计划,按照文件要求按时整改。
通过内审,对标准以及体系文件进行了再学习,大家对信息安全和服务管理有了更进一步的理解,执行起来也更为顺畅。以往各专业条款的管理力度较大,横向的交流相对欠缺,虽然各有各的特点和长处,平时不易接触和学习到,通过这次贯标,进行了跨专业的检查,也起到了互相学习、共同进步的效果。通过实践,我们的信息安全和服务管理体系更加符合我们的实际工作,运行更加有效。
本次内部审核,我们认为公司的信息安全管理体系实施运行基本可行,体系运行正常有效。
