De organisatie moet gespecialiseerde beoordelingen uitvoeren, waaronder grondige monitoring, scannen op kwetsbaarheden, testen op kwaadwillende gebruikers, beoordeling van dreigingen van binnenuit, testen op prestaties/belasting en verificatie- en validatietests op de kritieke systemen van de organisatie.
Richtlijn
Deze activiteiten kunnen worden uitbesteed, bij voorkeur aan geaccrediteerde organisaties.