5.监控与审查
监控审查对信息安全风险管理的四个步骤进行监控和审查。监控,是监视和控制,一 是监视和控制风险管理过程,即过程质量管理,以保证过程的有效性;二是分析和平衡成本效益,即成本效益管理,以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化,以保证结果的有效性和符合性。
信息安全风险管理活动本身也会存在风险。监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题,并采取适当的措施进行控制和纠正,从而减少因此造成的损失,保证信息安全风险管理主循环的有效性。
具体来说,监控审查包括三方面的内容:
◇监控过程有效性,要求对过程是否完整和有效地被执行进行监控;对输出文档是否齐全和内容完备进行监控
◇监控成本有效性,要求对执行成本与所得效果相比是否合理进行监控
◇审查结果有效性和符合性,要求对输出结果是否符合信息系统的安全要求进行审查;对输出结果是否因信息系统自身或环境的变化而过时进行审查