1.绩效评价

1.1 监视、测量、分析和评价

组织应确定：

a) 需要监视和测量的内容；

b) 监视、测量、分析和评价方法，适用时，确保得到有效的结果；

c) 何时以及何人进行监视和测量；

d) 何时以及何人对监视和测量结果进行分析和评价。

组织应保留适当的成文信息作为结果的证据。

组织应评价 BCMS 绩效和有效性。

1.2内部审核

1.2.1 总则

组织应按照策划的时间间隔进行内部审核，提供信息以表明业务连续性管理体系是否：

a) 符合：

1) 组织自身的业务连续性管理体系要求；

2) 本文件的要求。

b) 得到有效的实施和保持。

1.2.2 审核方案

组织应：

a) 策划、建立、实施和保持一个或多个审核方案，包括频次、方法、职责、策划要求和报告，审核方案应考虑到所关注过程的重要性和以往审核的结果；

b) 规定每次审核的审核准则和范围；

c) 选择审核员并实施审核，确保审核过程的客观性和公正性；

d) 确保将审核结果报告给相关管理者；

e) 保留成文信息，作为实施审核方案以及审核结果的证据；

f) 确保及时采取任何必要的纠正措施，以消除发现的不符合及其原因；

g) 确保后续审核活动包括所采取的措施的验证和报告验证结果。

1.3管理评审

1.3.1 总则

最高管理者应按照策划的时间间隔对组织的 BCMS 进行评审，以确保其持续的适宜性、充分性和有效性。

1.3.2 管理评审输入

管理评审应考虑以下内容：

a) 以往管理评审所采取措施的状态；

b) 与 BCMS 相关的内外部因素变化；

c) BCMS 绩效信息，包括以下趋势：

1) 不符合和纠正措施；

2) 监视和测量评价结果；

3) 审核结果。

d) 相关方的反馈

e) BCMS 调整的需要，包括方针和目标；

f) 组织中可用于提高 BCMS 绩效和有效性的程序和资源；

g) 业务影响分析和风险评估信息；

h) 业务连续性文档和能力评价的输出;

i) 在以往的风险评估中未充分解决的风险或问题；

j) 从未遂和中断中吸取的教训和采取的行动；

k) 持续改进的机会。

1.3.3 管理评审输出

1.3.3.1 管理评审的输出应包括与持续改进机会相关的决定，以及为提高 BCMS 的效率和有效性而对 BCMS 进行变更的任何需求，包括以下方面：

a) BCMS 范围的变化；

b) 更新业务影响分析、风险评估、业务连续性策略和解决方案以及业务连续性计划；

c) 修改可能会影响 BCMS 内外部问题响应的程序和控制；

d) 如何衡量控制措施的有效性。

1.3.3.2 组织应保留成文信息，作为管理评审结果的证据。组织应：

a) 向相关方沟通管理评审的结果；

b) 针对结果采取适当的措施。