9.1. Seguimiento, medición, análisis y evaluación

La organización determinará:

1. 1. Qué monitorear y medir, incluyendo los procesos y los controles de SI.
   2. Los métodos de seguimiento, medición, análisis y evaluación, según corresponda, para garantizar la validez de los resultados. El método elegido producirá resultados que se puedan comparar y reproducir para considerarse válidos.
   3. Cuándo se realizará el seguimiento y la medición.
   4. Quién deberá monitorear y medir.
   5. Cuándo se van a analizar y evaluar el resultado del seguimiento y la medición.
   6. Quién analizará y evaluará estos resultados.

La información documentada deberá estar disponible como evidencia de los resultados.
La organización debe evaluar el desempeño de la seguridad de la información y la eficacia del sistema de gestión de la seguridad de la información.