測(cè)量管理體系的有效性。
目的:根據(jù)量化指標(biāo)，測(cè)量信息安全管理系統(tǒng)的有效性。

 

內(nèi)容:制定測(cè)量方法論，根據(jù)ISO27004指南的內(nèi)容測(cè)量信息安全管理系統(tǒng)的有效性。

 

包括：
①設(shè)計(jì)測(cè)量方法，從各管理流程中制定關(guān)鍵安全績(jī)效指標(biāo)KPI；

②收集運(yùn)行過(guò)程中的記錄數(shù)據(jù)，利用量化數(shù)據(jù)分析，反映信息安全管理系統(tǒng)帶來(lái)的改進(jìn)；

③比較信息安全管理目標(biāo)和指標(biāo)體系，測(cè)量KPI是否符合管理目標(biāo)的要求；

 

④溝通發(fā)現(xiàn)的問(wèn)題，制定糾正預(yù)防措施，落實(shí)責(zé)任人，提高管理體系的有效性。

 

管理評(píng)審；
目的:向管理層匯報(bào)系統(tǒng)運(yùn)行過(guò)程中的效果和問(wèn)題，最高管理人員提出改進(jìn)要求和資源支持。

內(nèi)容:根據(jù)管理評(píng)審流程的要求進(jìn)行管理評(píng)審。

 

包括：
①制定管理評(píng)審計(jì)劃；

②準(zhǔn)備管理評(píng)估輸入材料，包括風(fēng)險(xiǎn)狀況、安全措施落實(shí)情況、相關(guān)方反饋、業(yè)務(wù)連續(xù)性管理架構(gòu)、信息安全管理系統(tǒng)內(nèi)部審核、系統(tǒng)有效性測(cè)量報(bào)告等。

③召開(kāi)管理評(píng)審會(huì)議；根據(jù)最高管理人員提出的管理要求，實(shí)施糾正預(yù)防措施或管理改進(jìn)方案；

④跟蹤糾正預(yù)防措施和管理改進(jìn)方案的實(shí)施情況。

 

十七、認(rèn)證機(jī)構(gòu)正式審核。
目的:信息安全管理系統(tǒng)的有效性由第三方權(quán)威機(jī)構(gòu)審核。

內(nèi)容:認(rèn)證機(jī)構(gòu)進(jìn)一步審核驗(yàn)證建立的信息安全管理體系，找到改進(jìn)的機(jī)會(huì)。