管理评审的输出应包括与下列内容相关的任何决定和措施:
a) ISMS有效性的改进;
b) 更新风险评估和风险处理计划;
c) 必要时,修订影响信息安全的程序和控制措施,以反映可能影响ISMS的内外事件,包括以下方面的变化:
1) 业务要求;
2) 安全要求;
3) 影响现有业务要求的业务过程;
4) 法律法规要求;
5) 合同责任;
6) 风险等级和(或)风险接受准则。
d) 资源需求;
e) 改进测量控制措施有效性的方式。
