Organisasi merencanakan, menerapkan dan mengendalikan proses Organisasi harus menyimpan informasi terdokumentasi Organisasi harus mengendalikan perubahan yang direncanakan dan meriview Organisasi memastikan proses yang dialih dayakan (outsource)
8.2 penilaian resiko keamanan informasi
Organisasi melakukan penilaian Organisasi menyimpan hasil penilaian
Pasal 9 evaulasi kinerja
9.1 pemantauan, pengukuran, analisis dan evaluasi Organisasi evaluasi dan efektivitas smki Organisasi menentukan Apa yg perlu dipantau dan diukur Metode pemantauan, pengukuran, analisis dan evaulasi Kapan pemantauan dan pengukuran Siapa yang mengukur dan memantau Kapan hasil dari pemantauan dan pengukuran harus dianalis dan dievaluasi Siapa yang menganalisis dan mengevaluasi hasil
9.2 audit internal
Organisasi melakukan audit internal pada selang waktu yang terencana A B Merencanalcan,menetapkan
9.3 reviu manajemen
Manajemen puncak harus melakukan reviu organisasi smki Dengan mencakup: A B Umpan balik Hasil penilaian resiko Peluang utk perbaikan