ISO9001(品質)8.2.3プロセスの監視測定、やISO14001(環境)4.5.1.監視・測定などと同じようなことです。ISO27001(2005)が規格化される前のISMSでは、こう要求事項がなかったので、殊更難しいことのように捉えられることがありますが、そう難しく考えることはないように思います。
　　しっかりと考えたい人は、例えば国の「電子政府行政情報化事業」“定量的セキュリティ測定手法および支援ツールの開発”などを参照ください。６５の項目が示されています。
　　あまり難しく考えたくない人のためには、例えば、私がコンサル先に提案した例として、�@「リスク対応計画書」の進捗度、�A「入退室記録」の実施率、�Bネットワーク関連のインシデント（事故）の件数および対応時間、�C情報セキュリティ苦情件数、�Dデータバックアップ実施率、�E情報セキュリティ関連投資額、�Fシステム要員の訓練実施率、などの定期的な測定の方法が考えられます。

情報セキュリティマネジメントシステムの管理策の有効性を定量的に測定するための規格としては、ISO27004が発行される予定だが、まだ作業原案（Working Draft） の段階となっている。管理策の測定についてはIPA情報処理推進機構が発表している「定量的セキュリティ尺度測定ガイドライン」が参考となる。
有効性の測定方法の具体的な方法の例としては、たとえば、「10.6ネットワークセキュリティ管理」であれば、サンプリングしたネットワーク図と実在設備との照合、ぜい弱性診断テストツールあるいは外部ペネトレーションサービスによるテスト、専門家によるネットワークデザインの有効性診断などが、「11.3利用者の責任」であれば、利用者へのパスワード設定状況のヒアリング、パスワード設定、クリアデスク・クリアスクリーンに対する理解度テストの実施、クリアデスク、クリアスクリーンの実施状況の観察などがあげられるだろう。

「選択した管理策又は一群の管理策の有効性をどのように測定するかを定義し・・・」

→リスク対応された管理策がリスク対応によってリスク値が下がったかどうかを再度リスクアセスメントすることで有効性を測定する。

「また，比較可能で再現可能な結果を生み出すための管理策の有効性のアセスメントを行うために，それらの測定をどのように利用するかを規定する［4.2.3 c) 参照］。」

→次期のリスク対応へのインプット

ISMSの規格では、測定方法は決められていないので、自社で考案するしか無い状態ですが、将来、ISO27004が発行されると明確になるかもしれません。例として次のような方法はいかがですか？
「採用している管理策それぞれについて、一定の基準（維持基準、改善基準）を設け、その達成状況を測定してゆくという方法」
「管理策一式に対して、発生したインシデントに対してどんな効果があったかや、外部の情報セキュリティ事故やインシデント等の情報から自社の管理策の有効性の評価をする」
など、いくつかの評価方法を組み合わせていくと良いと思われる。
評価基準を決めるに当たっては、ISMSの本来の目的である、事業継続に対して有効であるかという観点から評価することが大切でしょう。