GB/T 31497标准旨在帮助组织评估信息安全性能和信息安全管理系统的有效性，以满足GB/T 22080-2016标准中（）的要求。

GB/T 22080-2016标准9.1监视、测量、分析和评价

组织应评价信息安全绩效以及信息安全管理体系的有效性。

组织应确定：

a）需要被监视和测量的内容，包括信息安全过程和控制；

b）适用的监视、测量、分析和评价的方法，以确保得到有效的结果；

注：所选的方法宜产生可比较和可再现的有效结果。

c）何时应执行监视和测量；

d）谁应监视和测量；

e）何时应分析和评价监视和测量的结果；

f）谁应分析和评价这些结果。

组织应保留适当的文件化信息作为监视和测量结果的证据。