5.監(jiān)控與審查

監(jiān)控審查對(duì)信息安全風(fēng)險(xiǎn)管理的四個(gè)步驟進(jìn)行監(jiān)控和審查。監(jiān)控，是監(jiān)視和控制，一 是監(jiān)視和控制風(fēng)險(xiǎn)管理過程，即過程質(zhì)量管理，以保證過程的有效性；二是分析和平衡成本效益，即成本效益管理，以保證成本的有效性。審查是跟蹤受保護(hù)系統(tǒng)自身或所處環(huán)境的變化，以保證結(jié)果的有效性和符合性。

信息安全風(fēng)險(xiǎn)管理活動(dòng)本身也會(huì)存在風(fēng)險(xiǎn)。監(jiān)控與審查可以及時(shí)發(fā)現(xiàn)已經(jīng)出現(xiàn)或即將出現(xiàn)的變化、偏差和延誤等問題，并采取適當(dāng)?shù)拇胧┻M(jìn)行控制和糾正，從而減少因此造成的損失，保證信息安全風(fēng)險(xiǎn)管理主循環(huán)的有效性。

具體來說，監(jiān)控審查包括三方面的內(nèi)容：

◇監(jiān)控過程有效性，要求對(duì)過程是否完整和有效地被執(zhí)行進(jìn)行監(jiān)控；對(duì)輸出文檔是否齊全和內(nèi)容完備進(jìn)行監(jiān)控

◇監(jiān)控成本有效性，要求對(duì)執(zhí)行成本與所得效果相比是否合理進(jìn)行監(jiān)控

◇審查結(jié)果有效性和符合性，要求對(duì)輸出結(jié)果是否符合信息系統(tǒng)的安全要求進(jìn)行審查；對(duì)輸出結(jié)果是否因信息系統(tǒng)自身或環(huán)境的變化而過時(shí)進(jìn)行審查