9.1監視、測量、分析和評價

組織應評價信息安全績效以及信息安全管理體系的有效性。

組織應確定：

a)需要被監視和測量的內容，包括信息安全過程和控制；

b)適用的監視、測量、分析和評價的方法，以確保得到有效的結果；

注：所選的方法宜產生可比較和可再現的有效結果。

c)何時應執行監視和測量；

d)誰應監視和測量；

e)何時應分析和評價監視和測量的結果；

f)誰應分析和評價這些結果。

組織應保留適當的文件化信息作為監視和測量結果的證據。