方法（如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程）應(yīng)獨立審查。獨立評審宜由管理者啟動，由獨立于被評審范圍的人員執(zhí)行，例如交叉審核（審核員A審查B的信息安全管理工作）、內(nèi)部審核部門、、獨立的管理人員或?qū)ｉT進(jìn)行這種評審的第三方組織。從事這些評審的人員宜具備適當(dāng)?shù)募寄芎徒?jīng)驗。內(nèi)部審查的結(jié)果應(yīng)該形成正式文件并長期留存。

管理人員宜對自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行定期評審（一般是一年一次）。為了日常評審的效率，可以考慮使用自動測量和報告工具。評審結(jié)果和管理人員采取的糾正措施應(yīng)該被記錄，形成管理評審報告，且這些記錄宜予以維護(hù)。如果在管理評審中發(fā)現(xiàn)重大不符合項，則必須啟動糾正改進(jìn)措施。

信息系統(tǒng)應(yīng)被定期核查（一般為半年一次或一年一次）是否符合組織的信息安全方針和標(biāo)準(zhǔn)。技術(shù)符合性核查宜由有經(jīng)驗的系統(tǒng)工程師手動地（如必要，由適當(dāng)?shù)能浖ぞ咧С郑?/p>

和在自動化工具輔助下實施，以產(chǎn)生供技術(shù)專家進(jìn)行后續(xù)解釋的技術(shù)報告。如果使用滲透測試或脆弱性評估，則宜格外小心，需要提前制定應(yīng)急預(yù)案和做好應(yīng)急準(zhǔn)備，因為這些活動可能導(dǎo)致系統(tǒng)安全的損害。這樣的測試宜預(yù)先計劃，形成文件，且可重復(fù)執(zhí)行。任何技術(shù)符合性核查宜僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。