ISMSには「有効性を測定せよ」とのミッションが定められている。
有効性とは、リスクアセスメントの結果、残ってしまったリスクに対して施した管理策の効果が現れているのかどうか、つまりその管理策の持っている目的の達成度ということで、それを測定するということは 組織のISMSに携わるどんな人にでも管理策の効果が明らかになる（4.2.2d)の注記より）というモノであるらしい。 規格書の有効性に関する記述はざっと見ただけで4.2.2のd）と4.2.3のｂ）〜ｃ）の2か所ある。

　規格書の4.2.2のd）には リスクマネジメント後に残ってしまったリスクに、「一つであれ複数であれ適用した管理策」の有効性測定方法と、 それによって得られた測定結果を用いて管理策有効性の評価をするにはどんな手法で行うのかを、自分たちの組織で定めてくださいね、ということが書かれている。 この際気をつけるべきなのは、リスクアセスメント(リスク評価)のときと同様、比較再現可能な手法であること。
有効性を測定して終わりではなく、その結果を見て評価しなくてはならないのだ。

4.2.3のｂ）以降には、有効性測定のレビュー(見直し)するべき項目について書かれている。
こちらの方は管理策だけではなく、ISMS全体の有効性の見直しも定められている。
　ISMS基本方針にぴったり寄り添った運営ができているかどうか、に始まって
管理策自体が今のままでよいのかどうか、
その目的は果たされているか、
有効性測定の結果をみて、このままでいいのかどうか、
どんなセキュリティに関する事故や事件(起きたもの、起きそうだったもの)があったのか、
ここまでで何か提案が出ればそれについて、
そして関係者の意見があればそれについても。

せっかく説明してくれてもだね、その説明じゃわかるらんのだよ、キミ。という人のために、センターで行った方法を例にあげよう。

管理策について実施度と完成度を考えることにし、そのどちらか一方、もしくはその両方について有効性を測定することにした。
実施度を測る方法：「管理策を適用すべき対象に対して、管理策が実施されている程度」
達成度を測る方法：「管理策の目的・目標を達成したかどうかの程度」

これは基本方針に書かれている情報基盤センターの業務の観点から主に業務継続を目的として有効性測定を行うために定められている。
それぞれ○、△、×で測定し、有効性評価はこの2つについて×になった場合を有効ではないと判断することにした。

ちなみに2008年にセンターが認証取得した当初、この有効性測定についてははっきりした規格がまだ定められていなかったが、2009年12月に「ISO/IEC 27004」が発行されたので、そちらを参考にするのもよいだろう。