变更，同时审计非计划变更，并采取适当措施以减轻任何不良影响。本公司应确保外包过程是被确定和受控。
82信息安全风险评估
本公司应在技术时间间隔或发生重大变化时执行信息安全风险评估，将612中建立的标准纳入考虑范围。本公司应保留信息安全风险评估结果的相关文档化信息。
83信息安全风险处置
本公司应实施信息安全风险处置计划。本公司应保留信息安全风险处置结果的文档化信息。
9绩效评价
91监控，度量，分析和评价
本公司应评估信息安全绩效和信息安全管理体系的有效性。本公司应确定：a需要进行监视和测量，包括信息安全过程和控制要求b监测，测量，分析和评估（如适用）的方法，以确保结果有效注：选择被认为是有效的方法应该可以产生可比性和可再现的结果。c）监视和测量时间
10
f信息安全管理体系手册
d）谁应监视和测量e）何时对监视和测量的结果进行分析和评估f）谁应分析和评估这些结果。本公司应保留适当的监视和测量结果的文档化信息作为证据。
92内部审核
本公司应在计划的时间间隔进行内部审核，根据提供的信息判断是否安全管理体系：a符合1）本公司自身信息安全管理体系的要求2）本国际标准的要求b有效实施和保持。本公司应：c）计划，建立，实施并保持审核方案，其中包括频率，方法，职责，计划要求和报告。审核程序应考虑相关过程和以往审核结果的重要性d）定义每次审核的章程和范围e）选择审核员和审核组长以确保审核过程的客观性和公正f）确保审核结果报告提交相关管理层g）保留审核程序和审核结果相关的文档化信息作为证据。
93管理评审
最高管理者应在计划的时间间隔评审本公司的信息安全管理体系，以确保其持续的适宜性，充分性和有效性。管理评审应考虑：a以往管理评审行动措施的状态b与信息安全管理体系相关的内外部问题的变化c）反馈信息安全绩效和趋势，包括：1）不符合与纠正措施2）监控和测量结果3）审核结果
11
f信息安全管理体系手册
4）信息安全目标的实现d）相关方的反馈e）风险评估的结果和风险处置的状态f）持续改改进的机会。管理评审的输出应包括持续改进的机会和任何信息安全管理体系需要变更的相关决定。本公司应保留管理评审结果的文档化信息作为证据。
10改进
101符合及纠正措施
出现不符合时，本公司应：a）对不符合作r