5.監控與審查

監控審查對信息安全風險管理的四個步驟進行監控和審查。監控，是監視和控制，一 是監視和控制風險管理過程，即過程質量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護系統自身或所處環境的變化，以保證結果的有效性和符合性。

信息安全風險管理活動本身也會存在風險。監控與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環的有效性。

具體來說，監控審查包括三方面的內容：

◇監控過程有效性，要求對過程是否完整和有效地被執行進行監控；對輸出文檔是否齊全和內容完備進行監控

◇監控成本有效性，要求對執行成本與所得效果相比是否合理進行監控

◇審查結果有效性和符合性，要求對輸出結果是否符合信息系統的安全要求進行審查；對輸出結果是否因信息系統自身或環境的變化而過時進行審查