3.監視和評審ISMS

組織應定期（周期一般不超過一年）執行監視與評審規程和其他控制措施，以迅速檢測過程運行結果中的錯誤，迅速識別試圖的或已經得逞的安全違規和事件，使管理者臺旨夠確定分配給人員的安全活動或通過信息技術實施的安全活動是否按期望執行，通過使用安全狀態告警設施（例如安全管理中心SOc等）幫助檢測安全事態并預防安全事件，確定解決安全違規的措施是否有效。

組織在考慮安全審核結果、事件、有效性測量結果、所有相關方的建議和反饋的基礎上，進行ISMS有效性的定期評審（包括ISMS運行狀態是否滿足ISMS方針和目標，以及安全控制措施的有效性評審）。

組織應測量控制措施的有效性以驗證安全要求是否被滿足。

組織還應按照計劃的時間間隔進行風險評估的評審，對殘余風險和已確定的可接受自勺風險是否發生變化導致風險級別升級進行評審，并考慮以下方面的變化：組織、技術、業務目標和過程、已識別的威脅、已實施的控制措施的有效性、外部事態（如法律法規環境的變更、合同義務的變更和社會環境的變更）。

組織應按計劃的時間間隔，實施ISMS內部審核，生成內部審核報告。內部審核，有時稱為第一方審核，一般由組織內部信息安全審核人員進行，特殊情況下也可以委托外部第三方專業機構進行。其目的是用于組織內部評估ISMS的有效性，由組織信息安全管理部門或以組織的名義所進行的審核。

組織應定期進行ISMS管理評審，以確保ISMS范圍保持充分，內部審核發現的ISMS不符合項得到改正，以及識別ISMS過程的改進。管理評審應該由組織內部管理者代表參加并在最終的管理評審報告上簽字。

組織應定期評估安全監視和評審活動的結果，以更新安全計劃。 組織應記錄可能影響ISMS的有效性或執行情況的措施和事態。