多选题

定期开展信息安全管理体系的有效性审查，关注的内容应包括（）。

A. 信息安全管理的政策目标

B. 信息安全事件

C. 信息安全管理范围与计划

D. 信息安全设备采购

参考答案：ABC
图图解析：

ABC。信息安全管理体系（ISMS）是针对任何类型的组织用于建立、实施、运行、监控、审核、维护和改进信息安全的一个政策、程序、指南以及相关资源的框架。信息安全管理体系是组织在整体或特定范围内建立信息安全方针和目标，以及完成这些目标所用方法的体系。它是直接管理活动的结果，表示成方针、原则、目标、方法、过程、核查表等要素的集合。建立一个有效性测量的体系，需要结合ISMS建设的PDCA四个阶段来做一个说明各阶段的重要活动。PDCA简介：计划（Plan）根据风险评估结果、法律法规要求、组织业务运作自身需要来确定控制目标与控制措施；实施（Do）实施所选的安全控制措施；检查（Check）依据策略、程序、标准和法律法规，对安全措施的实施情况进行符合性检查。改进（Action）根据ISMS审核、管理评审的结果及其他相关信息，采取纠正和预防措施，实现ISMS的持继改进。四个步骤成为一个闭环，通过这个环的不断运转，使信息安全管理体系得到持续改进，使信息安全绩效（performance）螺旋上升。故本题正确答案选ABC。