ISO/IEC 27001 4.2.2では、“選択した管理策又は一群の管理策の有効性をどのように測定するかを定義すること”を要求しています。
必ずしも全ての管理策について個別にその有効性を測定するための指標を定義する必要はありませんが、一群の管理策の有効性を測定する場合には、採用された管理策の有効性をある程度代表して示すことができる指標を選択し、全ての分野の管理策（あるいは一群の管理策）の有効性を網羅的に測定できるよう指標を設定する必要があります。
例えば、管理策の適用によって、ID詐称などのIDの不正利用による情報への不正なアクセスの減少を測定することが出来れば、“A.11.2 利用者アクセスの管理”や“A.11.3利用者の責任”に関連する管理策が有効に機能していることを示せるでしょう。
多くの組織において、“管理策が実施されている”というルールの順守面だけの評価に留まっているケースが多いようですが、規格は、“有効性の測定”を求めていることに注意が必要です。
管理策の有効性の評価は、管理目的に照らして、より有効な管理策を採用し、あまり成果の上がらない管理策は実施を取りやめるなど、システムの効率化にも役立ちます。
環境の変化の目まぐるしい情報・通信システムに適用される管理策については、定期的なリスクアセスメントのレビューだけに頼ることなく、管理策の有効性の測定と併せてこそ、信頼に足るISMSの確立、維持、改善が可能となります。