为了识别改进已实施的ISMS的需要，信息安全测量方案和已制定的测量构造宜确保组织有效地达到目标和可重复测量，并为利益相关者提供测量结果。一个信息安全测量方案宜包括以下过程：
A.测度和测量的制定
B.测量运行
C.数据分析和测量结果报告
D.信息安全测量方案的评价和改进