測量管理體系的有效性。
目的:根據量化指標，測量信息安全管理系統的有效性。

 

內容:制定測量方法論，根據ISO27004指南的內容測量信息安全管理系統的有效性。

 

包括：
①設計測量方法，從各管理流程中制定關(guān)鍵安全績(jì)效指標KPI；

②收集運行過(guò)程中的記錄數據，利用量化數據分析，反映信息安全管理系統帶來(lái)的改進(jìn)；

③比較信息安全管理目標和指標體系，測量KPI是否符合管理目標的要求；

 

④溝通發(fā)現的問(wèn)題，制定糾正預防措施，落實(shí)責任人，提高管理體系的有效性。

 

管理評審；
目的:向管理層匯報系統運行過(guò)程中的效果和問(wèn)題，最高管理人員提出改進(jìn)要求和資源支持。

內容:根據管理評審流程的要求進(jìn)行管理評審。

 

包括：
①制定管理評審計劃；

②準備管理評估輸入材料，包括風(fēng)險狀況、安全措施落實(shí)情況、相關(guān)方反饋、業(yè)務(wù)連續性管理架構、信息安全管理系統內部審核、系統有效性測量報告等。

③召開(kāi)管理評審會(huì )議；根據最高管理人員提出的管理要求，實(shí)施糾正預防措施或管理改進(jìn)方案；

④跟蹤糾正預防措施和管理改進(jìn)方案的實(shí)施情況。

 

十七、認證機構正式審核。
目的:信息安全管理系統的有效性由第三方權威機構審核。

內容:認證機構進(jìn)一步審核驗證建立的信息安全管理體系，找到改進(jìn)的機會(huì )。