└第九章、績效評估
9.1監視、量測、分析與評估
• 監視>通常主管會盯啦,每週進度報告這樣。
• 量測>收集數據>一年降到六次以下(資安事故單)。
• 分析>加總之後,超過六次,需要改善。
9.2內部稽核
透過不同的業務單位(獨立性),互相來看,資訊是否有如計劃來執行。
→哪些事情需要確認的。
→有沒有實作,有效。
→定期的執行。
9.3管理審查
• 前次管審措施狀態(上次的成果)
• ISMS內外部議的變更(可能合約的變更,法規的變更)
• 資訊安全績效回饋(做的好不好?監控的結果?改善的結果?)
• 利害相關團體回饋
• 風險評鑑結果與風險處理計畫狀態
• 持續改善的機會
• 定期或不定期執行
└第十章、改善
10.1不符合事項與矯正措揓
• 不符合事項的處理
• 評估消除不符合事項原因措施的需求(找最根本的原因)
• 執行所需措施
• 審查矯正措施有效性
10.2持續改善
• 組織應持續改善ISMS的適切性、合適性與有效性
iThome鐵人賽
看影片追技術