De organisatie moet de informatiebeveiligingsprestaties en de doeltreffendheid van het managementsysteem voor informatiebeveiliging evalueren.
De organisatie moet vaststellen:
a) wat moet worden gemonitord en gemeten, met inbegrip van informatiebeveiligingsprocessen en ‑beheersmaatregelen;
b) welke methoden worden [A1>gebruikt<A1] voor het, voor zover van toepassing, monitoren, meten, analyseren en evalueren, om [A1>valide<A1] resultaten te bewerkstelligen;
OPMERKING De gekozen methoden behoren vergelijkbare en reproduceerbare resultaten op te leveren om als [A1>valide<A1] te worden beschouwd.
c) wanneer moet worden gemonitord en gemeten;
d) wie moet monitoren en meten;
e) wanneer de resultaten van het monitoren en meten moeten worden geanalyseerd en geëvalueerd; en
f) wie deze resultaten moet analyseren en evalueren.
De organisatie moet geschikte gedocumenteerde informatie [A1>bijhouden als bewijs<A1] van de resultaten van het monitoren en meten.
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) [A1>voldoet aan<A1]:
1) de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging; en
2) de eisen van deze norm;
b) doeltreffend is geïmplementeerd en onderhouden.
De organisatie moet:
c) (een) auditprogramma(’s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage. Het auditprogramma moet rekening houden met het belang van de betrokken processen en [A1>met<A1] de resultaten van voorgaande audits;
d) de auditcriteria voor en de reikwijdte van elke audit definiëren;
e) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
f) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management; en
g) gedocumenteerde informatie [A1>bijhouden als bewijs<A1] van het auditprogramma en de auditresultaten.
De directie moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen, om de continue geschiktheid, [A1>toereikendheid<A1] en doeltreffendheid te bewerkstelligen.
Bij de directiebeoordeling moet onder andere in overweging worden genomen:
a) de status van acties [A1>die zijn voortgekomen uit<A1] voorgaande directiebeoordelingen;
b) wijzigingen in externe en interne [A1>belangrijke punten (issues)<A1] die relevant zijn voor het managementsysteem voor informatiebeveiliging;
c) feedback over de informatiebeveiligingsprestaties, met inbegrip van trends in:
1) afwijkingen en corrigerende maatregelen;
2) resultaten van monitoren en meten;
3) auditresultaten; en
4) voldoen aan informatiebeveiligingsdoelstellingen;
d) feedback van belanghebbenden;
e) resultaten van risicobeoordeling en de status van het risicobehandelplan; en
f) kansen voor continue verbetering.
De resultaten van de directiebeoordeling moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
De organisatie moet gedocumenteerde informatie [A1>bijhouden als bewijs<A1] van de resultaten van de directiebeoordeling.
