b)  总裁办应定期评审ISMS/ITSMS的有效性，评审内容包括安全政策、服务管理计划，安全/服务目标和安全/服务控制，同时还应考虑到安全/服务审核的结果、安全/服务事故及所有利益相关方的建议和反馈。

c)  测量控制措施的有效性，验证已满足安全/服务需求。

d)  在评审残余风险和可接受风险的水平时，应考虑以下方面的变化：

组织

技术

业务目标和过程

已识别的威胁

所实施控制措施的有效性

外部事件：如法律法规的变化或社会环境的变化

e)  管理者代表应按计划定期进行ISMS/ITSMS内审，具体参见《内部审核控制程序》。

f)  公司应每年进行ISMS/ITSMS管理评审，以确保ISMS/ITSMS的范围保持充分，ISMS/ITSMS的改进得到确认。具体参见《管理评审控制程序》。

g)  根据监视和评审活动的发现，更新安全/服务计划。

应记录可能影响ISMS/ITSMS有效性的行为和事件、问题。

9.2  内部审核

按《内部审核控制程序》执行。以确保ISMS/ITSMS的控制目标、控制手段、过程和程序：

a)  符合GB/T22080-2016/ISO/IEC27001：2013、ISO/IEC 20000:2018《信息技术-服务管理-服务管理体系-要求》标准和相关法律法规的要求；

b)  符合识别的信息安全/信息技术服务要求；

c)  被有效地实施和维护；

d)  达到预想的业绩。

在制定内审程序时应考虑被审核区域和过程的状态和重要性，包括前次审核的结果。应确定审核准则、范围、频次和方法。选择有资质的审核员，确保审核过程客观公正。审核员不应审核自己的工作。

被审核区域的管理者负责保证及时采取措施以消除被发现的不符合及其原因。改进行为应包括对措施实施和效果的验证。

9.3  管理评审

公司管理层应按《管理评审控制程序》的要求定期举行公司管理体系的管理评审，以确保ISMS/ITSMS的持续适宜性、充分性和有效性。该评审包括对信息安全/信息技术服务方针和信息安全/信息技术服务目标的评审，并将评审结果以文件的形式记录下来。

管理评审的输入

a)  ISMS/ITSMS审核和评审的结果

b)  与安全/服务管理体系相关的外部和内部因素的变化相关方的反馈