三、 9.3 管理審查
管理審查涉及決策，也是維持整個管理系統持續改善的重要活動。先經由前面的監控量測及內部稽核了解管理系統的問題及效能，再透過定期審查機制確認需要改善或變更的地方。管理審查本身也是一種持續性的活動，不要誤認管理審查就是定期每年一次經由高階管理人員主持的會議或審查機制，每日簡單回報或每周小型會議也可以是管理審查的一種，只要能夠達到管理審查的目標，不需要拘泥任何形式，所以每年或每半年的管理審查是經由日積月累的審查堆疊而成。
進行管理審查是為了使ISMS能夠持續保持適切、充分和有效的狀態，以支持資訊安全。管理審查必須計劃相關時間間隔，以策略的方式並在最高管理層級上執行，以最適合業務需求的方式一次或部分地覆蓋所有要求的檢討。高階管理人員應審查先前核定的作業實施、可能影響ISMS的重要內部和外部議題、資訊安全績效以及持續改善機會，以便可以實施相關的調整和改善的機會。由於最高管理階層的直接參與，管理審查是與ISMS持續性最相關的作業，並且必須記錄來自管理審查的所有詳細資訊和資料，以確保ISMS可以遵循組織的特定要求和整體策略方向。管理審查是ISMS的基本要素、是高階管理人員審查ISMS有效性並確保其與組織策略方向保持一致的正式時機，因此必須按計劃的時間間隔進行，並且整個計劃審查（即一次會議或幾次會議）必須至少覆蓋9.3所要求的領域。召開一次涵蓋整個要求項目的管理審查會議不是必須的，可以舉行一系列會議，不同會議中可以有不同的輸入項目。在管理審查中保留記錄的必要資訊，必須包含所做的任何決定和所採取的行動的記錄，最好是有責任分配和時間表。
管理審查是一種過程導向，以輸入、審查及輸出作為基本要素組成一個管理審查的過程。輸入項目按照標準要求如下：
a) 先前管理審查之措施的處理狀態；
b) 有關ISMS的外部與內部問題之變化；
c) 資訊安全的績效回饋，包含下列趨勢分析：

1. 不符合事項與矯正措施；
2. 監督與量測結果；
3. 稽核結果；以及
4. 資訊安全目標的實現；
   d) 利害關係者的回饋；
   e) 風險評鑑的結果與風險處理計畫的狀態；以及
   f) 持續改進的機會；
   這些輸入項目在審查時應針對資訊安全政策及目標進行對應階層的審查，例如：高階管理者以總結方式審查及評估所有輸入項目，在經過審查之後會有輸出的項目，應包含和持續改進機會、與ISMS的變更需求有關之決定，例如：
   • 資訊安全政策及目標的變更，例如利害關係者的需求變更。
   • 資訊安全風險評鑑的準則變更，例如接受準則變更。
   • 採取必要之行動，評估行動的效能。
   • 資源或預算的重新分配
   • 修訂資訊安全風險處理計畫及適用性聲明
   • 監控及量測行動的持續改善
   相關文件化資訊必須記錄，如果管理審查區分不同主題分次進行，必須確認一定周期內將所有項目審查完畢。