Organisasjonen skal bestemme.:
a) hva som skal overvåkes og måles, inkludert informasjonsikkerhetsprosesser og sikkerhetstiltak;
b) metodene for overvåking, måling, analyse og evaluering, hvis det er aktuelt, for å sikre gyldige resultater. De valgte metodene bør frambringe sammenlignbare og reproduserbare resultater for å anses som gyldige;
c) når overvåking og måling skal utføres;
d) hvem som skal overvåke og måle;
e) når resultatene for overvåking og måling skal analyseres og evalueres;
f) hvem som skal analysere og evaluere disse resultatene.
Dokumentert informasjon skal være tilgjengelig som bevis på resultatene.
Organisasjonen skal evaluere informasjonsikkerhetspresentasjonen og virkningen av ledelsesystemet for informasjonsikkerhet.