We waken over de doeltreffende toepassing van het informatieveiligheidsbeleid in lijn met wet- en regelgeving.
Alle wettelijke, statutaire, regelgevende en contractuele eisen die relevant zijn voor informatiebeveiliging, zijn geïdentificeerd en gedocumenteerd.
De aanpak van de organisatie om aan deze eisen te voldoen, is geïdentificeerd en gedocumenteerd.
De gedocumenteerde eisen en de gedocumenteerde aanpak om aan de eisen te voldoen, worden actueel gehouden.
De naleving van het informatieveiligheidsbeleid, de regels en normen van de organisatie, wordt regelmatig beoordeeld.
De aanpak ten aanzien van het beher van informatiebeveiliging en de implementatie ervan - inclusief mensen, processen en technologie- wordt onafhankelijk en met geplande tussenpozen of zodra zich belangrijke veranderingen voordoen beoordeeld.