Organisasi harus menetapkan danmemelihara prosedur untuk memantau dan
mengukur kinerja system manajemen keamanannya. Organisasi juga harus menetapkan dan memelihara prosedur untuk memantau dan mengukur kinerja keamanan. Organisasi harus mempertimbangkan ancaman dan resiko keamanan yang terkait, termasuk mekanisme penurunan yang potensial dan akibatnya, saat menentukan frekuensi pengukuran dan pemantauan parameter kinerja kunci. Prosedur tersebut harus meliputi :
a) Pengukuran kualitatif dan kuantitatif sesuai dengan kebutuhan organisasi;
b) Pemantauan sejauh mana kebijakan, sasaran dan target manajemen
keamanan organisasi dipenuhi; c) Ukuran kinerja yang proaktif yang memantau ketaatan terhadap program system manajemen keamanan, criteria pengendalian operasi dan ketentuan peraturan perundangan yang berlaku serta persyaratan lainnya; d) Ukuran kinerja yang reaktif untuk memantau penurunan, kegagalan, insiden, ketidaksesuaian (termasuk kejadian nyaris celakadan alarm yang keliru) di bidang keamanan serta bukti historis lainnya tentang adanya kelemahan dalam kinerja system manajemen keamanan; e) perekaman data dan hasil pemantauan dan pengukuran yang cukup untuk memfasilitasi analisis tindakan korektif dan pencegahan secara berurutan. Jika perangkat pemantauan dibutuhkan untuk kinerja dan/atau pengukuran dan pemantauan, organisasi harus mensyaratkan penetapan dan pemeliharaan prosedur untuk kalibrasi dan pemeliharaan peralatan tersebut. Rekaman kalibrasi dan aktifitas dan hasil pemeliharaan harus disimpan dalam jangka waktu yang cukup untuk memenuhi ketentuan hokum dan kebijakan organisasi. 4.5.2 Evaluasi Sistem
Organisasi harus mengevaluasi rencana, prosedur dan
kemampuan manajemen keamanan melalui tinjauan, pengujian, laporan pasca insiden, pembelajaran, evaluasi kinerja dan latihan secara berkala. Perubahan yang signifikan dalam factor ini harus segera terefleksikan dalam prosedur. Organisasiharusmengevaluasiketaatanterhadapperaturandanper undangan terkait, praktek industry terbaik dan kesesuaian dengan kebijakan dan sasarannya secara berkala. Organisasi harus menyimpan rekaman hasil evaluasiberkala.