方法（如信息安全的控制目標(biāo)、控制措施、方針、過程和規(guī)程）應(yīng)獨(dú)立審查。獨(dú)立評(píng)審宜由管理者啟動(dòng)，由獨(dú)立于被評(píng)審范圍的人員執(zhí)行，例如交叉審核（審核員A審查B的信息安全管理工作）、內(nèi)部審核部門、、獨(dú)立的管理人員或?qū)ｉT進(jìn)行這種評(píng)審的第三方組織。從事這些評(píng)審的人員宜具備適當(dāng)?shù)募寄芎徒?jīng)驗(yàn)。內(nèi)部審查的結(jié)果應(yīng)該形成正式文件并長(zhǎng)期留存。

管理人員宜對(duì)自己職責(zé)范圍內(nèi)的信息處理是否符合合適的安全策略、標(biāo)準(zhǔn)和任何其他安全要求進(jìn)行定期評(píng)審（一般是一年一次）。為了日常評(píng)審的效率，可以考慮使用自動(dòng)測(cè)量和報(bào)告工具。評(píng)審結(jié)果和管理人員采取的糾正措施應(yīng)該被記錄，形成管理評(píng)審報(bào)告，且這些記錄宜予以維護(hù)。如果在管理評(píng)審中發(fā)現(xiàn)重大不符合項(xiàng)，則必須啟動(dòng)糾正改進(jìn)措施。

信息系統(tǒng)應(yīng)被定期核查（一般為半年一次或一年一次）是否符合組織的信息安全方針和標(biāo)準(zhǔn)。技術(shù)符合性核查宜由有經(jīng)驗(yàn)的系統(tǒng)工程師手動(dòng)地（如必要，由適當(dāng)?shù)能浖ぞ咧С郑?/p>

和在自動(dòng)化工具輔助下實(shí)施，以產(chǎn)生供技術(shù)專家進(jìn)行后續(xù)解釋的技術(shù)報(bào)告。如果使用滲透測(cè)試或脆弱性評(píng)估，則宜格外小心，需要提前制定應(yīng)急預(yù)案和做好應(yīng)急準(zhǔn)備，因?yàn)檫@些活動(dòng)可能導(dǎo)致系統(tǒng)安全的損害。這樣的測(cè)試宜預(yù)先計(jì)劃，形成文件，且可重復(fù)執(zhí)行。任何技術(shù)符合性核查宜僅由有能力的、已授權(quán)的人員來完成，或在他們的監(jiān)督下完成。