Das Kapitel 9 „Bewertung der Leistung“ der ISO/IEC 27001:2022 legt fest, wie die Organisation die Wirksamkeit und Leistungsfähigkeit ihres Informationssicherheits-Managementsystems (ISMS) überwachen, messen, analysieren und bewerten muss. Ziel ist es, sicherzustellen, dass das ISMS tatsächlich funktioniert und kontinuierlich verbessert werden kann.