測量管理體系的有效性。
目的:根據量化指標，測量信息安全管理系統的有效性。

 

內容:制定測量方法論，根據ISO27004指南的內容測量信息安全管理系統的有效性。

 

包括：
①設計測量方法，從各管理流程中制定關鍵安全績效指標KPI；

②收集運行過程中的記錄數據，利用量化數據分析，反映信息安全管理系統帶來的改進；

③比較信息安全管理目標和指標體系，測量KPI是否符合管理目標的要求；

 

④溝通發現的問題，制定糾正預防措施，落實責任人，提高管理體系的有效性。

 

管理評審；
目的:向管理層匯報系統運行過程中的效果和問題，最高管理人員提出改進要求和資源支持。

內容:根據管理評審流程的要求進行管理評審。

 

包括：
①制定管理評審計劃；

②準備管理評估輸入材料，包括風險狀況、安全措施落實情況、相關方反饋、業務連續性管理架構、信息安全管理系統內部審核、系統有效性測量報告等。

③召開管理評審會議；根據最高管理人員提出的管理要求，實施糾正預防措施或管理改進方案；

④跟蹤糾正預防措施和管理改進方案的實施情況。

 

十七、認證機構正式審核。
目的:信息安全管理系統的有效性由第三方權威機構審核。

內容:認證機構進一步審核驗證建立的信息安全管理體系，找到改進的機會。