根据GB/T 22080-2016标准的要求，开展信息安全绩效和ISMS有效性评价时，组织应确定（）。

GB/T 22080-2016标准9绩效评价

9.1监视、测量、分析和评价：组织应评价信息安全绩效以及信息安全管理体系的有效性。组织应确定：a）需要被监视和测量的内容，包括信息安全过程和控制；【C对，B错】

b）适用的监视、测量、分析和评价的方法，以确保得到有效的结果；【A对，B错】

注：所选的方法宜产生可比较和可再现的有效结果。

c）何时应执行监视和测量；

d）谁应监视和测量；

e）何时应分析和评价监视和测量的结果；

f）谁应分析和评价这些结果。组织应保留适当的文件化信息作为监视和测量结果的证据。【D错】