Het informatieveiligheidsbeleid en de maatregelen MOETEN worden beoordeeld:
In samenhang met veranderingen in wet- en regelgeving of beleid die gevolgen hebben voor de informatieveiligheid.
Bij het plannen en implementeren van nieuwe of ingrijpend gewijzigde technologie.
Na een dreiging- en risicobeoordeling van belangrijke veranderingen (bijvoorbeeld nieuwe informatiesystemen of overeenkomsten).
Wanneer uit auditverslagen of beoordelingen van beveiligingsrisico's blijkt dat informatiesystemen een hoog risico met zich meebrengen.
Wanneer trends in dreigingen of kwetsbaarheden wijzen op een aanzienlijk verhoogd risico.
Na ontvangst van het eindverslag van het onderzoek naar beveiligingsincidenten.
Alvorens toegangsovereenkomsten met externe partijen te verlengen die betrekking hebben op belangrijke producten of diensten.
Wanneer industriële, nationale of internationale standaarden voor informatieveiligheid worden ingevoerd of aanzienlijk worden herzien om nieuwe bedrijfs- en technologische aspecten aan te pakken.
Wanneer externe instanties verslagen uitbrengen of nieuwe trends met betrekking tot informatieveiligheid vaststellen.
