測量管理體系的有效性。
目的:根據(jù)量化指標(biāo)，測量信息安全管理系統(tǒng)的有效性。

 

內(nèi)容:制定測量方法論，根據(jù)ISO27004指南的內(nèi)容測量信息安全管理系統(tǒng)的有效性。

 

包括：
①設(shè)計測量方法，從各管理流程中制定關(guān)鍵安全績效指標(biāo)KPI；

②收集運行過程中的記錄數(shù)據(jù)，利用量化數(shù)據(jù)分析，反映信息安全管理系統(tǒng)帶來的改進；

③比較信息安全管理目標(biāo)和指標(biāo)體系，測量KPI是否符合管理目標(biāo)的要求；

 

④溝通發(fā)現(xiàn)的問題，制定糾正預(yù)防措施，落實責(zé)任人，提高管理體系的有效性。

 

管理評審；
目的:向管理層匯報系統(tǒng)運行過程中的效果和問題，最高管理人員提出改進要求和資源支持。

內(nèi)容:根據(jù)管理評審流程的要求進行管理評審。

 

包括：
①制定管理評審計劃；

②準(zhǔn)備管理評估輸入材料，包括風(fēng)險狀況、安全措施落實情況、相關(guān)方反饋、業(yè)務(wù)連續(xù)性管理架構(gòu)、信息安全管理系統(tǒng)內(nèi)部審核、系統(tǒng)有效性測量報告等。

③召開管理評審會議；根據(jù)最高管理人員提出的管理要求，實施糾正預(yù)防措施或管理改進方案；

④跟蹤糾正預(yù)防措施和管理改進方案的實施情況。

 

十七、認(rèn)證機構(gòu)正式審核。
目的:信息安全管理系統(tǒng)的有效性由第三方權(quán)威機構(gòu)審核。

內(nèi)容:認(rèn)證機構(gòu)進一步審核驗證建立的信息安全管理體系，找到改進的機會。