9.1 Monitorowanie, pomiary, analiza i ocena

Organizacja powinna określić:

a) co należy monitorować i mierzyć, w tym procesy oraz środki kontroli związane z bezpieczeństwem informacji;

b) metody monitorowania, pomiarów, analizy i oceny, w zależności od potrzeb, w celu zapewnienia wiarygodnych wyników. Wybrane metody powinny zapewniać porównywalne i powtarzalne wyniki, aby mogły być uznane za ważne;

c) kiedy monitorowanie i pomiary będą przeprowadzane;

d) kto będzie odpowiedzialny za monitorowanie i pomiary;

e) kiedy wyniki monitorowania i pomiarów będą analizowane i oceniane;

f) kto będzie analizował i oceniał wyniki.

Udokumentowane informacje powinny być dostępne jako dowód wyników monitorowania i pomiarów.

Organizacja powinna oceniać wyniki w zakresie bezpieczeństwa informacji oraz skuteczność systemu zarządzania bezpieczeństwem informacji.