當ISMS完成規劃,並開始運作一段時間後,一定會產生相關的證據,依照每個組織所設計的控制措施管理制度,必須會產生許多不同的表單,在運作過程中,這些表單都會使用到而形成記錄,這些記錄都是作為制度執行過程的證據,那麼,要如何確認組織的ISMS是有效的?即是主條文9要求組織要做的事。
有效性 (effectiveness) 是評估管理系統是否能達到預期目的的核心指標,也是最高管理階層最在意的事項,若投入資源建置並運作管理系統卻沒有達到預期目的,那麼可能會使得這段期間的投入被認為是無效或成效不彰,間接使最高管理階層產生是否要繼續的疑慮,而最高管理階層的支持是管理系統能成功運作的最重要來源,因此管理系統有必要規劃、實作並監督管理系統運作的有效性,才能使最高管理階層對其具有足夠信心,持續投入資源維持其運作。
主條文9.1也明確要求組織必須評估ISMS績效及ISMS的有效性。
那麼如何證明ISMS是有效的?組織可依照之前所規劃的過程的準則是否符合來確認,而符合準則是要有證據支持的,證據即是執行過程所累積的記錄,另外也可以規劃額外的確認機制來驗證其有效性,而這個確認機制通常就是稽核。
主條文9.1要求組織必須要針對資訊安全過程以及控制措施定義需要監督 (monitor) 及量測 (measure) 的事項,包括量測的時間 (週期)、量測的人員 (通常是直接執行或監督執行的人)、執行分析及評估的時間 (週期) 以及執行分析的人員 (通常是控制措施或制度的負責人或授權人員) 等等,最後則是定義監督、量測、分析及評估的方法,這個方法要能產生可比較及可重製視為有效的結果,最簡單的方法就是量化指標以及條件,量化的數值本身就已具備可比較性,而監督與量測的方法應該可以在任何時候依該方法能產生相同的結果,不會因為某些限制條件 (時間以外) 而使數值變化。
之所以特別指出時間以外,亦即在不同時間量測出現的結果可能會不一樣,但這很正常,除非量測的對象的狀態不會因為時間變化,或是變化幅度沒有影響量測指標。
比如NAS可用空間首次量測仍有35%,七天後量測變29%,表示NAS空間資料量增加,但若七天後量測仍然是35%,表示可能空間資料量沒有變化,或變化沒有反應在可用空間上。
例如控制措施A.8.6容量管理,控制措施的要求是「資源之使用應受監視及調整,以符合目前容量要求及預期容量要求」,若此控制措施是施加在儲存設備,那麼要監控的指標就可能會是「儲存設備的可用空間」,符合的條件可能是「可用空間要大於10%」,而量測的週期設定為每個月,這時每個月就都要產生對儲存設備可用空間的量測記錄,如果量測出的數值無法符合指標 (例如量測可用空間只有9%) 時,就要採取矯正的行動使其恢復到必須符合的條件,而這些量測記錄與矯正行動的結果就能明確的證明這個控制措施是有效的。
監督與量測活動的週期 (Period) 一般而言可能會作為程序寫進程序書內,或是寫在作業指引中,而有效性的證明就是有沒有週期去監督與量測的記錄 (如可用容量檢測表、帳號盤點表、資產盤點記錄等),這在多數的控制措施中是一種組織積極管理的證明。
監督與量測在大多數的ISMS負責人眼中其實某種程度是一件很繁重又瑣碎的工作,因為ISMS的負責人不會只有做ISMS一件事,多半會是主要業務以外的附加工作,而當工作一忙碌時,確實很容易忽略或被遺忘,因此適當的自動化機制能降低監督與量測的工作負擔,但分析與評估則可能會因為制度中包含了審查程序而無法完全自動化,這就只能仰賴負責人自己本身的任務管理能力。