3.监视和评审ISMS
组织应定期(周期一般不超过一年)执行监视与评审规程和其他控制措施,以迅速检测过程运行结果中的错误,迅速识别试图的或已经得逞的安全违规和事件,使管理者台旨够确定分配给人员的安全活动或通过信息技术实施的安全活动是否按期望执行,通过使用安全状态告警设施(例如安全管理中心SOc等)帮助检测安全事态并预防安全事件,确定解决安全违规的措施是否有效。
组织在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上,进行ISMS有效性的定期评审(包括ISMS运行状态是否满足ISMS方针和目标,以及安全控制措施的有效性评审)。
组织应测量控制措施的有效性以验证安全要求是否被满足。
组织还应按照计划的时间间隔进行风险评估的评审,对残余风险和已确定的可接受自勺风险是否发生变化导致风险级别升级进行评审,并考虑以下方面的变化:组织、技术、业务目标和过程、已识别的威胁、已实施的控制措施的有效性、外部事态(如法律法规环境的变更、合同义务的变更和社会环境的变更)。
组织应按计划的时间间隔,实施ISMS内部审核,生成内部审核报告。内部审核,有时称为第一方审核,一般由组织内部信息安全审核人员进行,特殊情况下也可以委托外部第三方专业机构进行。其目的是用于组织内部评估ISMS的有效性,由组织信息安全管理部门或以组织的名义所进行的审核。
组织应定期进行ISMS管理评审,以确保ISMS范围保持充分,内部审核发现的ISMS不符合项得到改正,以及识别ISMS过程的改进。管理评审应该由组织内部管理者代表参加并在最终的管理评审报告上签字。
组织应定期评估安全监视和评审活动的结果,以更新安全计划。 组织应记录可能影响ISMS的有效性或执行情况的措施和事态。