风险管理过程之监控与审查

5.监控与审查

监控审查对信息安全风险管理的四个步骤进行监控和审查。监控，是监视和控制，一 是监视和控制风险管理过程，即过程质量管理，以保证过程的有效性；二是分析和平衡成本效益，即成本效益管理，以保证成本的有效性。审查是跟踪受保护系统自身或所处环境的变化，以保证结果的有效性和符合性。

信息安全风险管理活动本身也会存在风险。监控与审查可以及时发现已经出现或即将出现的变化、偏差和延误等问题，并采取适当的措施进行控制和纠正，从而减少因此造成的损失，保证信息安全风险管理主循环的有效性。

具体来说，监控审查包括三方面的内容：

◇监控过程有效性，要求对过程是否完整和有效地被执行进行监控；对输出文档是否齐全和内容完备进行监控

◇监控成本有效性，要求对执行成本与所得效果相比是否合理进行监控

◇审查结果有效性和符合性，要求对输出结果是否符合信息系统的安全要求进行审查；对输出结果是否因信息系统自身或环境的变化而过时进行审查