9.3管理評審

最高管理層應按計劃的時間間隔評審組織的信息安全管理體系，以確保其持續的適宜性、充分性和有效性。

管理評審應考慮：

a)以往管理評審提出的措施的狀態；

b)與信息安全管理體系相關的外部和內部事項的變化；

c)有關信息安全績效的反饋，包括以下方面的趨勢：

1)不符合和糾正措施；

2)監視和測量結果；

3)審核結果；

4)信息安全目標完成情況；

d)相關方反饋；

e)風險評估結果及風險處置計劃的狀態；

f)持續改進的機會。

管理評審的輸出應包括與持續改進機會相關的決定以及變更信息安全管理體系的任何需求。

組織應保留文件化信息作為管理評審結果的證據。