1业绩评估

1.1监测，测量，分析和评价了文件

该组织应确定：

a)需要监测和测量的内容，包括信息安全流程和控制。

b)监测，测量，分析和评估的方法(如适用)，以确保结果有效。所选择的方法应产生可比较和可重复的结果，才能被认为是有效的。 

c)应在何时进行监测和测量。 

d)谁来监督和衡量。

e)何时对监测和测量的结果进行分析和评估。

f)谁来分析和评估这些结果。应提供有记录的资料作为结果的证据。

组织应评估信息安全性能和信息安全管理系统的有效性。

1.2内部审计

1.2.1一般

组织应按计划的时间间隔进行内部审计，以提供关于信息安全管理系统是否存在的信息。 

a)符合

1)组织本身对其信息安全管理系统的要求。

2)本文件的要求。 

b)有效地实施和维护。

1.2.2内部审计方案

该组织应计划，建立，实施和保持审计方案，包括频率，方法，责任，规划要求和报告。

在制定内部审计方案时，组织应考虑相关流程的重要性和以往审计的结果。该组织应：

a)确定每项审计的审计标准和范围。

b)选择审计员并进行审计，确保审计过程的客观性和公正性。 

c)确保将审计结果报告给相关管理层。

应提供有记录的信息，作为实施审计方案和审计结果的证据。 

1.3管理审查

1.3.1一般人

最高管理层应按计划的时间间隔审查组织的信息安全管理系统，以确保其持续的适宜性，充分性和有效性。

1.3.2管理审查投入

管理审查应包括对以下方面的考虑。 

a)以往管理审查的行动状况。

b)与信息安全管理系统有关的外部和内部问题的变化。

c)与信息安全管理系统有关的有关各方的需求和期望的变化。 

d)关于信息安全性能的反馈，包括以下方面的趋势。

1)不符合要求的情况和纠正措施。

2)监测和测量结果。

3)审计结果。

4)实现信息安全目标。

e)有关各方的反馈。

f)风险评估的结果和风险处理计划的状况。 

g)持续改进的机会。

1.3.3 管理审查结果

管理审查的结果应包括与持续改进机会有关的决定以及对信息安全管理系统进行修改的任何需要。

应提供有记录的信息作为管理审查结果的证据。

2改进

2.1持续改进

组织应不断提高信息安全管理系统的适宜性，充分性和有效性。

2.2不合格品和纠正措施

当发生不符合要求的情况时，组织应：

a)对不符合要求的情况作出反应，并视情况而定，

1)采取行动来控制和纠正它。

2)处理后果。 

b)评估是否需要采取行动，消除不符合要求的原因，以使其不再发生或在其他地方发生，方法是：

1)审查不符合要求的情况。

2)确定不符合要求的原因。

3)确定是否存在或可能发生类似的不符合规定的情况。 

c)实施任何需要的行动。

d)审查所采取的任何纠正措施的有效性；以及

e)必要时，对信息安全管理系统进行修改，纠正措施应与所遇到的不符合项的影响相适应。记载的信息应可作为以下的证据。

f)不符合要求的性质和随后采取的任何行动。 

g)任何纠正行动的结果。