8. 運作

• 應規劃、實做、控制為了達成要求事項的過程，並實作因應風險和機會之行動、資安目標的達成計畫，且保存文件化資訊。
• 應控制規劃的變更，並審核非預期變更的後果，在必要時採取行動。

9. 績效評估

9.1 監督、量測、分析、評估

• 決定需監督和量測的事項，包括過程和控制措施。
• 確定監督、量測、分析、評估的方法，並指定執行監督、量測的時間和人員，產出結果後決定分析和評估的時間及人員，且應保存文件化資訊。

9.2 內稽

• 依規劃時間進行內稽，確認是否符合組織本身的 ISMS 要求和此標準的要求。
• 必須規劃與實作稽核計畫，且應將本次的重點項目及上次的稽核結果納入考量。
• 稽核結果需對相關管理層報告，並保存文件化資訊。

9.3 管審

• 最高管理階層需審查 ISMS，確保其適切、合宜、有效。
• 管審應考量：

• 過去管審案件的處理情況。
• 內外部議題。
• 不符合項目與矯正措施。
• 監督量測結果。
• 稽核結果。
• 目標是否達成。
• 關注方的意見。
• 風險評鑑結果與處理狀態。
• 是否能持續改善。

• 管審結果應保存文件化資訊。

10. 改善

• 當有不符合項目時，應進行採取行動矯正，並處理後果。
• 需針對不符合項目進行評估其改善方案，防止再發。
• 審查矯正措施有效性，必要時變更 ISMS。
• 應持改善 ISMS，使其合宜、適切、有效。