内部監査の次は、マネジメントレビューだ。
自組織内で、他の部署や他の仕事をしている人などの横同士で行う内部監査とは違い、組織の責任者がISMSに対して、経営者でなければ判断できない組織全体に係わることや、ISMSをより良いものにするための改善策を、具体的に部下たちに指示する上下で行われる作業だ。
そのためには、ISMSの現状について、いろいろと部下の人たちに資料を出してもらう必要があり、その資料についてもどんなものを集めるべきか、規格書に定められている。
ISMSを主語として、マネジメントレビューへ資料を提出するこの作業のことを、「インプット（情報入力）」と呼び、マネジメントレビューの結果出てきた改善策や、ISMSに対する評価などのことを「アウトプット(情報出力)」と呼ぶ。
ISMSの中のマネジメントレビューだから、ついついマネジメントレビューに情報を出すのだ、と考えて前者を「アウトプット」とよびたくなってしまう人もいるかもしれないが、それは間違い。
入力しないと出すものも出せない、ということなのかもしれないが、ISMSからインプットしてボスが受け取り、そこから判断してISMSへのアウトプットに至る。

それではインプット・アウトプット、それぞれ規格書にはどんなことが書かれているのだろう。