3.監(jiān)視和評審ISMS

組織應(yīng)定期（周期一般不超過一年）執(zhí)行監(jiān)視與評審規(guī)程和其他控制措施，以迅速檢測過程運行結(jié)果中的錯誤，迅速識別試圖的或已經(jīng)得逞的安全違規(guī)和事件，使管理者臺旨夠確定分配給人員的安全活動或通過信息技術(shù)實施的安全活動是否按期望執(zhí)行，通過使用安全狀態(tài)告警設(shè)施（例如安全管理中心SOc等）幫助檢測安全事態(tài)并預(yù)防安全事件，確定解決安全違規(guī)的措施是否有效。

組織在考慮安全審核結(jié)果、事件、有效性測量結(jié)果、所有相關(guān)方的建議和反饋的基礎(chǔ)上，進行ISMS有效性的定期評審（包括ISMS運行狀態(tài)是否滿足ISMS方針和目標(biāo)，以及安全控制措施的有效性評審）。

組織應(yīng)測量控制措施的有效性以驗證安全要求是否被滿足。

組織還應(yīng)按照計劃的時間間隔進行風(fēng)險評估的評審，對殘余風(fēng)險和已確定的可接受自勺風(fēng)險是否發(fā)生變化導(dǎo)致風(fēng)險級別升級進行評審，并考慮以下方面的變化：組織、技術(shù)、業(yè)務(wù)目標(biāo)和過程、已識別的威脅、已實施的控制措施的有效性、外部事態(tài)（如法律法規(guī)環(huán)境的變更、合同義務(wù)的變更和社會環(huán)境的變更）。

組織應(yīng)按計劃的時間間隔，實施ISMS內(nèi)部審核，生成內(nèi)部審核報告。內(nèi)部審核，有時稱為第一方審核，一般由組織內(nèi)部信息安全審核人員進行，特殊情況下也可以委托外部第三方專業(yè)機構(gòu)進行。其目的是用于組織內(nèi)部評估ISMS的有效性，由組織信息安全管理部門或以組織的名義所進行的審核。

組織應(yīng)定期進行ISMS管理評審，以確保ISMS范圍保持充分，內(nèi)部審核發(fā)現(xiàn)的ISMS不符合項得到改正，以及識別ISMS過程的改進。管理評審應(yīng)該由組織內(nèi)部管理者代表參加并在最終的管理評審報告上簽字。

組織應(yīng)定期評估安全監(jiān)視和評審活動的結(jié)果，以更新安全計劃。 組織應(yīng)記錄可能影響ISMS的有效性或執(zhí)行情況的措施和事態(tài)。