体系保持：审核组织是否持续按照ISO27001标准的要求运行其ISMS，包括各项控制措施的实施情况、风险评估和处理的持续性等。

体系变化：评估组织在获得认证后，其ISMS是否发生了重大变化，如组织结构调整、业务流程变更等，并检查这些变化是否得到了适当的控制和管理。

审核组织是否收到了与信息安全相关的顾客投诉，并检查组织是否对这些投诉进行了及时、有效的处理。顾客投诉是评估组织ISMS运行效果的重要反馈来源之一。

如果组织在获得认证后进行了范围变更（如业务范围、地理位置等），监督审核将重点关注这些变更是否得到了适当的控制和管理，以确保ISMS的持续有效性。

内部审核：检查组织是否按照计划进行了内部审核，并评估内部审核的有效性和充分性。内部审核是组织自我评估ISMS运行效果的重要手段。

管理评审：评估组织的管理层是否定期进行了管理评审，以审查ISMS的绩效、目标和策略，并确定是否需要对其进行调整或改进。

如果组织提供了信息安全相关的服务，并且这些服务在服务目录中有所体现，监督审核将关注服务目录的变化情况，以确保所有提供的服务都符合ISMS的要求。

审核组织是否针对上次监督审核或认证审核中提出的不符合项采取了有效的纠正措施，并验证这些措施的实施效果。这是确保组织持续改进其ISMS的关键步骤之一。

根据组织的具体情况和认证机构的要求，监督审核还可能包括其他选定的范围，如特定业务流程的信息安全控制、新技术或新产品的信息安全风险评估等。