为辽阳企业提供ISO27001信息安全管理体系认证服务

ISO27001信息安全管理体系标准介绍之十四

8.3信息安全风险处置

组织应实施信息安全风险处置计划。

组织应保留信息安全风险处置结果的文件化信息。

9.1 监视、测量、分析和评价

组织应确定：

a) 需要被监视和测量的内容，包括信息安全过程和控制措施；

b) 监视、测量、分析和评价的方法，适当时，该方法确保得到有效的结果。所选的方法宜产生可比较和可再现的有效结果。

c) 何时应执行监视和测量；

d) 谁应监视和测量；

e) 何时应分析和评价监视和测量的结果；

f) 谁应分析和评价这些结果。

应提供文件化信息以作为结果的证据。组织应评价信息安全绩效和信息安全管理体系的有效性。