ISO/IEC 27001:2013标准 正文 9 绩效评价/9.1 监视、测量、分析和评价

9.1 监视、测量、分析和评价

组织应评价信息安全绩效以及信息安全管理体系的有效性。

组织应确定:
a) 需要被监视和测量的内容,包括信息安全过程和控制;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果;

注:所选的方法宜产生可比较和可再现的有效结果。

c) 何时应执行监视和测量;
d) 谁应监视和测量;
e) 何时应分析和评价监视和测量的结果;
f) 谁应分析和评价这些结果。

组织应保留适当的文件化信息作为监视和测量结果的证据。

标准解读:

  1. 本条款要求对信息安全绩效(如目标完成情况)以及信息安全管理体系的有效性(如控制措施的有效性)进行监测、并对结果进行分析和评价;
  2. 可以根据本条款的要求,形成书面的《信息安全监视和测量控制程序》,在文件中明确监视和测量的内容,监视和测量的流程和方法,监视和测量的频率等;
  3. 目前监视和测量的内容一般考虑信息安全目标和控制措施有效性测量;
  4. 测量和监视、分析以及评价等需要有记录。

实施本条款应输出的文档:

  1. 《信息安全监视和测量控制程序》;
  2. 信息安全目标完成情况跟踪记录,以及分析和评价记录;
  3. 控制措施有效性测量记录。

本条款审核要点:

  1. 检查《信息安全监视和测量控制程序》;
  2. 检查信息安全目标完成情况跟踪记录,以及分析和评价记录;
  3. 检查控制措施有效性测量记录。