公司信息安全管理体系运行情况报告第1页共2页报告期间报告人报告日期方针和目标适用性和执行情况1、目前的信息安全方针能够反映出本公司管理层对信息安全方面的总要求,满足客户和相关方的要求。2、目前的信息安全服务目标均能达成,具体见目标完成情况表。审核和评审的结果1、体系自运行起通过了1次内审、1次管理评审(本次管理评审)。2、对于内审中开具的不符合报告(6个问题),均已进行原因分析并制定纠正和预防措施落实整改,其中5个已整改完毕,验证有效。1个按纠正和预防措施正在落实中。相关方的反馈1、顾客满意度较高,达100%2、未接到客户针对信息安全事件的投诉,未发生信息泄露事件及重要信息设备丢失事件。绩效和符合性1、公司制定了信息安全保护工作的总体目标和总体策略,并且根据信息安全管理系统要求、运行环境的变化,以及系统本身的变化,及时更新信息安全保护工作的总体目标、策略、规划、技术标准和管理制度。2、组织开展了公司信息安全等级保护工作,并进行公司信息安全评估和风险管理工作。3、公司信息安全管理体系在各部门运行情况良好,各部门岗位职责分工明确,切实可行。4、人力资源和设备资源配置是充分的、合理的。5、建立及完善公司财务管理制度,认真做好资金管理工作及财务核算、财务报告编制和信息披露工作;定期进行财务分析,做好财务风险管控工作。6、经营活动中认真贯彻公司信息安全方针,制定目标并确保其实现;建立并保持与顾客的联络,充分了解顾客的要求、期望、报怨,及时向有关部门反馈;做好每个客户的合同签订工作,并按照合同评审流程,对合同有效的管理,同时签订有关保密协议。7、认真做好信息相关设施、设备的维护工作,信息安全相关设备及系统(包括防火墙、入侵检测系统、漏洞扫描系统、防病毒系统等)运行正常,信息安全目标均已达成。8、建立了来访管理制度,外来及未经授权人员进入本公司,登记访客相关信息。公司信息安全管理体系运行情况报告第2页共2页风险评估结果及风险处置计划和状态1、建立风险评估计划并实施验证。2、对资产信息安全风险结果采取相应的控制措施,制定《信息安全风险处置计划》。3、按照《信息安全风险处置计划》的要求对上述风险等级大于等于3的信息资产进行管理控制,我们预计可有效降低其风险等级,使其持久纳入公司可接受风险水平范围。4、未来公司通过自身的努力,顺应市场趋势、业务范围和规模必将进一步扩大,对信息安全的需求将愈加强烈。按照《信息安全风险管理程序》的要求,我们将不断对公司的信息安全风险进行评估,以使公司的信息安全风险始终处在可接受的状态。预防措施与纠正措施实施状况对日常发现的不符合项及内审发现的不符合项均按可行的纠正和预防措施进行整改,短期内无法整改完毕的问题正在按纠正和预防措施一步一步进行落实。可能影响信息安全管理体系的任何变更未发现可能影响信息安全管理体系的重大变更。