一、执行监视与评审程序和其它控制措施，包括：

1、迅速检测过程运行结果中的错误;

2、迅速识别试图的和得逞的安全违规和事件:

3、使管理者能够确定分配给人员的安全活动或通过信息技术实施的安全活动是否被如期执行；

4、通过使用指示器，帮助检测安全事态并预防安全事件:

5、确定解决安全违规的措施是否有效。

二、在考虑安全审核结果、事件、有效性测量结果、所有相关方的建议和反馈的基础上，进行ISMS有效性的定期评审(包括满足ISMS方针和目标，以及安全控制措施的评审)。

三、测量控制措施的有效性以验证安全要求是否被满足。

四、按照计划的时间间隔进行风险评估的评审，以及对残余风险和已确定的可接受的风险级别进行评审，应考虑以下方面的变化:

1、组织；

2、技术；

3、业务目标和过程；

4、已识别的威胁；

5、已实施的控制措施的有效性；

6、外部事态，如法律法规环境的变更、合同义务的变更和社会环境的变更。

五、定期进行ISMS管理评审，以确保ISMS范围保持充分，ISMS过程的改进得到识别。

六、考虑监视和评审活动的结果，以更新安全计划。

七、记录可能影响ISMS的有效性或执行情况的措施和事态。