Day10_脑细胞死光光的一天…

└第九章、绩效评估
9.1监视、量测、分析与评估
• 监视>通常主管会盯啦，每周进度报告这样。
• 量测>收集数据>一年降到六次以下(资安事故单)。
• 分析>加总之後，超过六次，需要改善。

9.2内部稽核
透过不同的业务单位(独立性)，互相来看，资讯是否有如计划来执行。
→哪些事情需要确认的。
→有没有实作，有效。
→定期的执行。
9.3管理审查
• 前次管审措施状态(上次的成果)
• ISMS内外部议的变更(可能合约的变更，法规的变更)
• 资讯安全绩效回馈(做的好不好?监控的结果?改善的结果?)
• 利害相关团体回馈
• 风险评监结果与风险处理计画状态
• 持续改善的机会
• 定期或不定期执行
└第十章、改善
10.1不符合事项与矫正措揓
• 不符合事项的处理
• 评估消除不符合事项原因措施的需求(找最根本的原因)
• 执行所需措施
• 审查矫正措施有效性
10.2持续改善
• 组织应持续改善ISMS的适切性、合适性与有效性