1.以往内部审核的结果； 2.相关方的反馈； 3.现行信息安全管理体系的整体有效性、适应性和充分性。 4.用于改进信息安全管理体系业绩和有效性的技术、产品或程序； 5.预防和纠正措施的状况； 6.风险评估没有充分强调的脆弱性或威胁； 7.有效性测量的结果； 8.任何可能影响信息安全管理体系的变更； 9.改进的建议。