測量管理體系的有效性。
目的:根據(jù)量化指標，測量信息安全管理系統(tǒng)的有效性。

 

內(nèi)容:制定測量方法論，根據(jù)ISO27004指南的內(nèi)容測量信息安全管理系統(tǒng)的有效性。

 

包括：
①設計測量方法，從各管理流程中制定關鍵安全績效指標KPI；

②收集運行過程中的記錄數(shù)據(jù)，利用量化數(shù)據(jù)分析，反映信息安全管理系統(tǒng)帶來的改進；

③比較信息安全管理目標和指標體系，測量KPI是否符合管理目標的要求；

 

④溝通發(fā)現(xiàn)的問題，制定糾正預防措施，落實責任人，提高管理體系的有效性。

 

管理評審；
目的:向管理層匯報系統(tǒng)運行過程中的效果和問題，最高管理人員提出改進要求和資源支持。

內(nèi)容:根據(jù)管理評審流程的要求進行管理評審。

 

包括：
①制定管理評審計劃；

②準備管理評估輸入材料，包括風險狀況、安全措施落實情況、相關方反饋、業(yè)務連續(xù)性管理架構、信息安全管理系統(tǒng)內(nèi)部審核、系統(tǒng)有效性測量報告等。

③召開管理評審會議；根據(jù)最高管理人員提出的管理要求，實施糾正預防措施或管理改進方案；

④跟蹤糾正預防措施和管理改進方案的實施情況。

 

十七、認證機構正式審核。
目的:信息安全管理系統(tǒng)的有效性由第三方權威機構審核。

內(nèi)容:認證機構進一步審核驗證建立的信息安全管理體系，找到改進的機會。