ISO管理体系年度管理评审输入报告

技术质安部

根据公司管理体系的要求，全面检验公司管理体系在公司本部的各项目部的运行情况和有效性，检查制定的各项管理措施方案，以及与之相关的程序文件的要求实施和落实情况，确保体系正常运行，使公司在管理上更趋程序化、系统化、规范化、标准化，按ISO9001管理体系认证要求，技术质安部对公司本部和工程项目部展开了管理评审和体系运行检查，并针对上次评审中出现的不合格项进行重点监督和检查，严防不合格项在公司内部重复发生，杜绝使之成为公司严重不合格项，综合本次管理评审的情况，三个体系在各项目和部室运行基本正常。质量意识、安全意识、环何意识在贯标工作三年里通过学习→实施→再学习→再实施的过程中得到进一步加强，做精品工程，施工工程的以人为本的理念在全公司上下得到充分体现，在持续不断的改进中管理人员、作业人员素质得到进一步提升，工程管理能力、管理水平得到提高，三个体系中蕴含精管理在公司日常管理中得到升华，各项管理措施得到了完善，同时在评审和检查过程中各项目也发现了在体系运行中存在项目的个别操作人员对体系的标准理解不深，管理上出现漏洞等方面的问题，为促进公司发展和管理上持续改进，现将有关评审情况汇报如下：
    一、体系在公司本部和项目运行及执行情况
   1.1通过对项目部和公司本部管理体系运行情况和审查，各项目部质量体系、职业健康安全体系、环境体系运行基本正常，项目和部室对此项工作都能高度重视，能有效地将贯标工作贯穿到各项目和部室的全面工作中，严格执行ISO9001管理体系相关条款，PCDA循环在各项目中得到很好运用和实践，服务、创新、求变、安全、健康意识得到增强，规范、标准、严谨的工作作风得到了加强，用制度来管理，用条例来管理，用程序化的思维来管理，用责任来管理的先进管理理念得到充分展现。
   1.2经过对项目相关顾客满意度数据分析，各项目以顾客为中心，以顾客为关注焦点在实际工作中得到进一步落实，服务意识、双赢意识贯穿日常工作中，在查看问卷调查表10个方面的调查报告中，顾客对项目部在“现场文明施工执行情况满意度调查中，较为满意和一般满意占的比率比较大，公司应加强在这方面的跟踪和自查，经分析综合顾客满意度数据统计，满意度为94.5%，说明公司的工作得到了顾客的肯定。
   1.3各部室和项目对所属工程均进行了全方位监控测量，经检查各部室和项目部的相关工程技术资料，如工程隐蔽工程记录，分部分项工程检验批，基本与工程同步完成，各种记录资料对工程施工的全过程描述正确，各类自检、检测记录齐全，如试压记录、检测记录真实的反应了工程的实际状况，本次共检查75个批次，检验批共820项均为合格，材料报验审手续符合程序文件的要求。
   1.4各部室、各项目对公司所承接的任务，从工程开工到工程施工全过程均进行了策划“一体化”计划、施工组织设计、管理方案编写合理、合格、针对性强，并根据顾客的要求对“一体化”计划进行了修订和改进，如天山项目根据甲方要求提前竣工的情况，及时修订了一体化计划和管理方案，使之更符合工程需要。各部室、各项目工程施工更趋程序化和标准化，所有项目对目标和指标进行分解，并切实得到了很好的执行，确保了公司年度各项指标的完成。
   1.5各部室、各项目分别制定了多项管理措施，对“人、机、料、法、环”在工程中所起的作用进行规范和说明，各项目结合本工程的特点均制定了与之相适应的“特殊工序和关键工序”对工程是有一定的指导作用和现实意义，同时各项目制定了如“顾客财产保护措施”、“应急与响应措施”、“双人字梯高处坠落的预防措施”等措施，经检查和评审各项制度和措施在各部室、各项目得到很好的执行，有效的避免了各类事故，包括质量安全方面的发生。
   1.6各部室和各项目均对工作环境、施工现场、危险源、危险因素、重大危险源、重大环境因素进行了辩识和识别，确定了重大危险源133项和重大环境因素88项并制定了相关措施，对关键点进行监控，提升了各部室、各项目的预防和防范能力，杜绝了各类事故的发生。
   二、存在问题及持续改应注意的问题
   2.1公司各项目部有部分人员对贯标工作的认识不足，理解不深认为有公司的管理，按照国家有关规范和质监站的要求执行就可，不需要另起炉灶，另行一套。对要求按贯标文件和程序文件执行有抵触情绪或敷衍行事，认为是增加项目负担和施工成本。
   2.2有些项目部对体系如何运行，如何与日常工作结合，如何处理日常工作与贯标工作之间的关系，有点不知所措，“等”、“靠”公司来处理的思想比较严重，部分员工对自己该做什么、怎么做、做到什么程度认识比较模糊。
   2.3部分项目在服务意识方面比较淡薄，还有待提高，工程管理上有待加强，在产品保护、工程的过程监视和测量认证材料的收集，工程资料的编写和编制，工地现场文明施工的管理等方面有待加强，如在本次顾客满意度（10项）的调查中对文明施工现场文明执行情况的满意度只有25%为满意，城市风景在该项目调查中为一般满意。
   2.4个别项目管理人员对项目的经济效益的关注度，高于其它方面，只注意经济效益，忽视安全生产、环境保护的状况在一定范围内存在，导致公司有关制度执行有一定难度或流于形式。
   三、对三位一体管理体系执行情况的改进措施
   3.1公司对所属公司的项目部管理人员、作业人员、特种操作人员进行培训，由各项目部制定培训人员计划表送交公司人力资源部，由公司人力资源部统一组织进行培训学习。加强对项目相关工程的施工、质量安全、材料设备等科、室、组对三个体系的培训与认识，提高全员参与的意识。
   3.2及时监督项目管理力度，督促检查项目的贯标工作，增加对项目的检查与检查频率。及时收集项目上的各项工程资料，分类归档。
   3.3各部室、各项目对人员素质、能力和经验方面培养有待加强，应及时加强信息沟通，合理安排培训时间和培训内容，提高管理人员的管理水平和处理事件的能力。

                                                                    有限公司
                                                                    年  月  日

第二篇：信息安全管理体系管理评审报告

信息安全管理体系管理评审报告

评审日期：2009 年 4 月 1 日

评审目的：分析 20## 年度外审前信息安全工作完成情况，评价管理体系的适宜性、充分性、有效性，明确本年度工作目标，提出改进措施、建议，确保信息安全方针、目标的实现和满足法律法规和客户的需求。

评审内容：

①  安全方针和目标是否正在实现，过去 4 个月中所取得的业绩是否达到、完成或超过安全 方针和目标的要求；

②  管理人员和监督人员过去 4 个月中管理与监督的状况，是否达到预期要求；

③  管理体系运行是否受控、是否有效（近期内审结果）；

④  纠正措施和预防措施执行情况如何；

⑤  听取资源充分性报告；

⑥  风险评估中提出的薄弱点或威胁；

⑦  客户反馈意见的汇总分析；

⑧  员工培训教育情况分析报告；

⑨  客户投诉及其处理情况汇总；

⑩  改进的建议；

?   其他日常管理议题。

评审组成员：

评审意见和结论：

1、本公司按照 ISO27001：2005 的要求建立的管理体系全面覆盖了应用软件的开发、系统 集成活动和电子验印、票据防伪系统的生产活动；从运行以来，管理体系得到了不断地改进 与完善，总体运行情况良好。

2、《ISMS  手册》规定的本公司的安全方针、目标，符合准则要求和本公司实际情况，通 过努力正在逐步实现。

3、《ISMS 手册》中所列的控制项（133 项参数或指标）是真实的。与之相关联的机构和岗 位设置是合理的，机构及岗位的职责分工明确，切实可行；与之相关联的人力资源和设备资 源配置是充分的、合理的；与之相关联的物理环境条件是符合要求的；各个要素、各个程序和各个环节之间的衔接循环是封闭的。

4、管理体系运行以来，管理及监督人员开展了有效的工作，监督管理工作有明显成效。 上半年共进行了 1 次内审,内审覆盖了本公司所有管理活动和技术活动，内审共发现 9 个不 符合项，这些问题均已得到了纠正；纠正措施执行情况良好。

5、采用附录 A 中的 11 类控制方式，其中其中删减了 8 处，其余 125 个控制点得到了满意 的结果，存在少量的一些问题（详见内审报告），也已提交了整改报告。

6、我公司 2009  年度工作类型不会发生重大变化，工作量将会进一步增加。计算机系统的点检监督监测频次可以再次增加；为了进一步加强为客户的服务，提高自己的竞争能力，委 托监测软件的测量也可进一步增加

7、客户反馈的意见，如对信息安全的信心保证；2008 年未接到客户投诉，但通过认证是增 加信心的有效手段，顾客意见将得到满足。

8、内部控制活动正常，但信息沟通还需进一步通畅，员工自觉学习的氛围还没有形成，培训的方式要不断改进。

9、现场记录填写的质量存在问题较多，需进一步加强；内审员的监督作用需要加强并充分发挥。 综上所述，本公司的信息安全管理体系文件是一套文件化的完整的受控的体系文件；并建立 了相应的组织机构、设置了相应的岗位、配备了相应的人员，其机构、岗位和人员的职责明确，配置了相应的检测设备、软件、采用符合要求的标准、方法标准、测试软件、程序和有 效服务。由此建立的一个为达到信息安全方针和目标而相互关联的要素进行了系统优化整合的管理体系，对本公司开展数据存储、培训等活动是适宜的、充分的和有效的。

会议作出以下决议：

1、 现行实施的管理体系文件是本公司信息安全管理体系运行的唯一的指导性文件。

2、 本公司各部门和全体人员、外包方都必须按照体系文件的规定，指导、约束自己的行为， 履行自己的岗位职责；应注意利用日常点检，不断确定持续改进的措施，实现本公司的信息 安全方针和目标。

3、 本公司总经理应带领全体人员积极营造创建学习型企业的氛围和文化，保证管理体系的 有效运行。

4、 由总经理及时完成本次管理评审报告；技术服务部负责整理本次管理评审记录并归档，同时传递给其他部门，输入下一年度计划。

5、 管理评审报告分发范围：各部门负责人和内审员。

ISO27001信息安全管理标准理解及内审员培训

  ISO27001信息安全管理标准理解及内审员培训    下载报名表   内训调查表

【课程描述】

ISO/IEC27001:2005信息技术安全管理体系要求用于组织的信息安全管理体系的建立和实施，保障组织的信息安全。本课程将详述ISO 27001:2005/ISO 27002:2005标准的每一个要求，指导如何管理信息安全风险，并附以大量的审核实战案例以作说明。内部审核部分将以ISO 19011:2002为基础，教授学员如何策划和实施信息安全管理体系内部审核活动。掌握该体系的具体执行程序和标准，并了解对该体系进行检查和审核的方法以及制作审核报告的技巧。

【课程帮助】

如果你想对本课程有更深入的了解，请参考 >>> 德信诚ISO27001内审员相关资料手册

【课程对象】

信息安全管理人员，欲将ISO27001导入组织的人员，在ISO27001实施过程中承担内部审核工作的人员，有志于从事IT信息安全管理工作的人员。

【课程大纲】

第一部分：ISO27001：2005信息安全概述、标准条款讲解
◆ 信息安全概述：信息及信息安全，CIA目标，信息安全需求来源，信息安全管理。
◆ 风险评估与管理：风险管理要素，过程，定量与定性风险评估方法，风险消减。
◆ ISO/IEC 27001简介：ISO27001标准发展历史、现状和主要内容，ISO27001标准认证。
◆ 信息安全管理实施细则：从十个方面介绍ISO27001的各项控制目标和控制措施。
◆ 信息安全管理体系规范：ISO/IEC27001-2005标准要求内容，PDCA管理模型，ISMS建设方法和过程。

第二部分：ISO27001：2005信息安全管理体系文件建立（ISO27001与ISO9001、ISO14001管理体系如何整合）
◆ ISO27001与ISO9001、ISO14001的异同
◆ ISO27001与ISO9001、ISO14001可以共用的程序文件和三级文件
◆ 如何将三体系整合降低公司的体系运行成本
◆ ISO9001、ISO14001、ISO27001体系三合一整合案例分析

第三部分：信息安全管理体系内部审核技巧和认证应对案例分析
◆ ISO27001：2005标准对内审员的新要求
◆ 信息安全管理体系认证现场审核的流程、技巧及沟通方法
◆ 如何应对认证公司的认证审核、监督审核、案例分析
◆ 考试 >>> 考试合格者颁发“ISO27000信息安全管理体系内部审核员培训合格证书”

对今后工作的改进要求：

1、应不断提高全员的信息安全意识，保证管理体系的有效运行和持续改进，提高体系文件 的运行效率，通过体系外审视最近的目的。

2、加强对体系文件的宣贯和学习，讲究方式，提高效率；加强对软件及应用专业知识和相 关法律法规的学习，确保他们具有与其所承担任务相适应的工作能力。

3、进一步完善应急预案编制，加强对威胁的认识，并据此完善调查制度，逐步建设一套完 善的应急监测、响应系统。

4、进一步加强数据储存机房内部管理，不断提高管理的应用的水平，尽快完善同步备份制 度活着尽量减少储存的备份时差。

5、进一步了解管理部门、社会各界需求及园区企业的需求，细分这些需求，逐步满足这些 需求，增强本公司竞争力。

6、 日常监测工作的安排要提前，加强计划性，细化月计划、周计划，使各项工作开始之前 有足够的时间准备，降低忙中出错的几率。

7、责成网络部，尽快完成支持业务可持续性设备的科学演练。

8、加强对纠正预防措施处理意见的学习，上半年派相关人员前往咨询机构做进一步的学习 交流，提高本公司纠正预防能力。畅通顾客意见的渠道，加强收集顾客意见，增强重点项目、 重点客户的关注程度。

9、上述的输出，要在下次监督审核以前完成，责成各主管职能部门经理监督负责。

管理者代表：

总经理：

日期：  20## 年 4 月 1 日