9 绩效评价

9.1监视、测量、分析和评价

组织应评价信息安全绩效和信息安全管理体系的有效性。

组织应确定：

a) 需要被监视和测量的内容，包括信息安全过程和控制措施；

b) 监视、测量、分析和评价的方法，适用时，以确保得到有效的结果。

注：所选的方法宜产生可比较和可再现的有效结果。

c) 何时应执行监视和测量；

d) 谁应监视和测量；

e) 何时应分析和评价监视和测量的结果；

f) 谁应分析和评价这些结果。

组织应保留适当的文件化信息作为监视和测量结果的证据。

9.2 内部审核

组织应按计划的时间间隔进行内部审核，提供信息以确定信息安全管理体系是否：

a) 符合

1) 组织自身对信息安全管理体系的要求；

2) 本标准的要求。

b) 得到有效实施和保持。

组织应：

c) 规划、建立、实施和保持审核方案（一个或多个），包括审核频次、方法、职责、规划要求和报告。审核方案应考虑相关过程的重要性和以往审核的结果；

d) 确定每次审核的审核准则和范围；

e) 选择审核员，实施审核，确保审核过程的客观性和公正性；

f) 确保将审核结果报告至相关管理者；

g) 保留文件化信息作为审核方案和审核结果的证据。

9.3 管理评审

最高管理者应按计划的时间间隔评审组织的信息安全管理体系，以确保其持续的适宜性、充分性和有效性。

管理评审应考虑：

a) 以往管理评审要求采取措施的状态；

b) 与信息安全管理体系相关的外部和内部情况的变化；

c) 信息安全绩效有关的反馈，包括以下方面的趋势：

1) 不符合和纠正措施；

2) 监视和测量结果；

3) 审核结果；

4) 信息安全目标完成情况；

d) 相关方反馈；

e) 风险评估结果及风险处置计划的状态；

f) 持续改进的机会。

管理评审的输出应包括与持续改进机会相关的决定以及变更信息安全管理体系的任何需求。

组织应保留文件化信息作为管理评审结果的证据。