# 9.3 Management review

1.  **Algemeen**

> Het topmanagement moet met geplande tussenpozen het managementsysteem voor informatiebeveiliging van de organisatie beoordelen om de continue geschiktheid, toereikendheid en doeltreffendheid ervan te bewerkstelligen.

2.  **Input voor de management review**

> Bij de management review moet onder andere rekening worden gehouden met:

a)  de status van acties die zijn voortgekomen uit voorgaande management reviews;

b)  wijzigingen in externe en interne belangrijke punten (issues) die relevant zijn voor het managementsysteem voor informatiebeveiliging;

c)  wijzigingen in de behoeften en verwachtingen van de belanghebbenden die relevant zijn voor het managementsysteem voor informatiebeveiliging;

d)  feedback over de prestaties van de informatiebeveiliging, met inbegrip van trends in:

    1.  afwijkingen en corrigerende maatregelen;

    2.  resultaten van monitoren en meten;

    3.  auditresultaten;

    4.  het voldoen aan informatiebeveiligingsdoelstellingen;

e)  feedback van belanghebbenden;

f)  resultaten van risicobeoordeling en de status van het risicobehandelingsplan;

g)  kansen voor continue verbetering.

    1.  **Resultaten van de management review**

> De resultaten van de management reviews moeten beslissingen omvatten met betrekking tot kansen voor continue verbetering en de noodzaak voor wijzigingen in het managementsysteem voor informatiebeveiliging.
>
> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de resultaten van de management reviews.