Die Bewertung der Leistung eines Informationssicherheitsmanagementsystems (ISMS) ist entscheidend, um sicherzustellen, dass die Sicherheitsziele erreicht werden und kontinuierliche Verbesserungen stattfinden. Die Bewertung der System-Leistung folgt einem mehrstufigen Konzept:

• Key Performance Indicators für messbare Werte wie zum Beispiel
  • die Anzahl der Sicherheitsvorfälle;
  • die Zeit bis zur Behebung von Schwachstellen.
• Risikobewertungen durch die ggf. auch neue Bedrohungen und Schwachstellen identifiziert und entsprechende Maßnahmen ergriffen werden.
• Regelmässige Management Reviews durch die Geschäftsleitung.
• Interne Audits
• Externe Audits

Die Methoden zur Überwachung, Messung, Analyse und Bewertung stellen gültige Ergebnisse sicher, wenn sie zu vergleichbaren und reproduzierbaren Ergebnissen führen. Sie werden geplant, organisiert, durchgeführt und dokumentiert. Dabei wird festgelegt

• wann die Überwachung und Messung durchzuführen ist;
• wer überwachen und messen muss;
• was die Kriterien und der Umfang für die Aktion sind (Objektivität und Unparteilichkeit);
• wann die Ergebnisse zu analysieren und zu bewerten sind;
• wer die Ergebnisse analysiert und bewertet;
• welche Konsequenzen aus Abweichungen resuieren;
• wie die Überwachung und Messung zu dokumentieren und als Nachweis zu archivieren ist.