【经验与技巧】信息安全监控可考虑的十个方面

要检验企业信息安全管理体系运行是否有效，可以从以下十个方面进行验证：

（一）信息安全目标（总目标和拆解目标）的监视和统计（《信息安全目标管理程序》）；

（二）《适用性声明（SOA）》中的控制措施的有效性测量；

（三）部门重要信息资产管理的自查；

（四）信息安全部门的稽查；

（五）审计部门的审计；

（六）定期的内部审核（《信息安全内部审核管理程序》）；

（七）第三方的外部审核；

（八）高层信息安全稽查；

（九）渗透测试等第三方技术评审；

（十）定期进行文件评审。

以上内容可以编写成《信息安全监控管理程序》，涉及ISO/IEC 27001: 2022中的9.1 监视、测量、分析和评价、A.5.35 信息安全的独立评审以及A.5.36 策略、规则和信息安全标准的符合性​。