9.1 監控審查概述

9.1.1　監控審查的概念

監控審查對信息安全風險管理循環的四個主體步驟（即背景建立、風險評估、風險處理和批準監督）進行監控和審查。監控是監視和控制，一是監視和控制風險管理過程，即過程質量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護系統自身或所處環境的變化，以保證結果的有效性和符合性。

9.1.2　監控審查的意義

信息安全風險管理活動本身也會存在風險。監督與審查可以及時發現已經出現或即將出現的變化、偏差和延誤等問題，并采取適當的措施進行控制和糾正，從而減少因此造成的損失，保證信息安全風險管理主循環的有效性。

9.1.3　監控審查的內容

監控審查包括以下方面和內容：
1、監控過程有效性
1）過程是否完整和有效地被執行
2）輸出文檔是否齊全和內容完備
2、監控成本有效性
1）執行成本與所得效果相比是否合理
3、審查結果有效性和符合性
1）輸出結果是否符合信息系統的安全要求
2）輸出結果是否因信息系統自身或環境的變化而過時