要检验企业信息安全管理体系运行是否有效,可以从以下十个方面进行验证:

(一)信息安全目标(总目标和拆解目标)的监视和统计(《信息安全目标管理程序》);

(二)《适用性声明(SOA)》中的控制措施的有效性测量;

(三)部门重要信息资产管理的自查;

(四)信息安全部门的稽查;

(五)审计部门的审计;

(六)定期的内部审核(《信息安全内部审核管理程序》);

(七)第三方的外部审核;

(八)高层信息安全稽查;

(九)渗透测试等第三方技术评审;

(十)定期进行文件评审。

以上内容可以编写成《信息安全监控管理程序》,涉及ISO/IEC 27001: 2022中的9.1 监视、测量、分析和评价、A.5.35 信息安全的独立评审以及A.5.36 策略、规则和信息安全标准的符合性​。