ISO/IEC 27001: 2022标准 正文 9 Performance evaluation 绩效评价/9.1 Monitoring, measurement, analysis and evaluation 监视、测量、分析和评价

9.1 Monitoring, measurement, analysis and evaluation 监视、测量、分析和评价

The organization shall determine:
组织应确定:

a) what needs to be monitored and measured, including information security processes and controls;
a) 需要被监视和测量的内容,包括信息安全过程和控制;

b) the methods for monitoring, measurement, analysis and evaluation, as applicable, to ensure valid results. The methods selected should produce comparable and reproducible results to be considered valid;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果。所选的方法宜产生可比较和可再现的有效结果。

c) when the monitoring and measuring shall be performed;
c) 何时应执行监视和测量;

d) who shall monitor and measure;
d) 应由谁来监视和测量;

e) when the results from monitoring and measurement shall be analysed and evaluated;
e) 何时应分析和评价监视和测量的结果;

f) who shall analyse and evaluate these results.
f) 应由谁来分析和评价这些结果。

Documented information shall be available as evidence of the results.
适当的文件化信息应予以保留,以作为结果的证据。

The organization shall evaluate the information security performance and the effectiveness of the information security management system.
组织应评价信息安全绩效以及信息安全管理体系的有效性。
ISO/IEC 27001:2013标准 正文 9 绩效评价/9.1 监视、测量、分析和评价

9.1 监视、测量、分析和评价

组织应评价信息安全绩效以及信息安全管理体系的有效性。

组织应确定:
a) 需要被监视和测量的内容,包括信息安全过程和控制;
b) 适用的监视、测量、分析和评价的方法,以确保得到有效的结果;

注:所选的方法宜产生可比较和可再现的有效结果。

c) 何时应执行监视和测量;
d) 谁应监视和测量;
e) 何时应分析和评价监视和测量的结果;
f) 谁应分析和评价这些结果。

组织应保留适当的文件化信息作为监视和测量结果的证据。

标准解析

  1. 本条款,在新版中做了以下微调:(1)在新版中的这句话“组织应评价信息安全绩效以及信息安全管理体系的有效性”,放到了条款的末尾,在ISO/IEC 27001:2013版中是放在条款开头;(2)在ISO/IEC 27001:2013版,9.1 b)有一个注解,在新版中,直接把注解的内容放到了b)中;(3)新版中将原来e)末尾的“and”删除了;(4)在新版中,“适当的文件化信息应予以保留,以作为结果的证据”这句话,重新组织了语言描述,但意涵未改变。基于以上的微调,在实施新版要求的时候,无需做特别的变更。
  2. 本条款要求对信息安全绩效(如目标完成情况)以及信息安全管理体系的有效性(如控制措施的有效性)进行监测、并对结果进行分析和评价;
  3. 可以根据本条款的要求,形成书面的《信息安全监视和测量控制程序》,在文件中明确监视和测量的内容,监视和测量的流程和方法,监视和测量的频率等;
  4. 目前监视和测量的内容一般考虑信息安全目标和控制措施有效性测量;
  5. 测量和监视、分析以及评价等需要有记录。

实施本条款应输出的文档:

  1. 《信息安全监视和测量控制程序》;
  2. 信息安全目标完成情况跟踪记录,以及分析和评价记录;
  3. 控制措施有效性测量记录。

本条款审核要点:

  1. 检查《信息安全监视和测量控制程序》;
  2. 检查信息安全目标完成情况跟踪记录,以及分析和评价记录;
  3. 检查控制措施有效性测量记录。

ISO/IEC 27001:2013标准解读(20)正文 9 绩效评价/9.1 监视、测量、分析和评价