方法（如信息安全的控制目標、控制措施、方針、過程和規程）應獨立審查。獨立評審宜由管理者啟動，由獨立于被評審范圍的人員執行，例如交叉審核（審核員A審查B的信息安全管理工作）、內部審核部門、、獨立的管理人員或專門進行這種評審的第三方組織。從事這些評審的人員宜具備適當的技能和經驗。內部審查的結果應該形成正式文件并長期留存。

管理人員宜對自己職責范圍內的信息處理是否符合合適的安全策略、標準和任何其他安全要求進行定期評審（一般是一年一次）。為了日常評審的效率，可以考慮使用自動測量和報告工具。評審結果和管理人員采取的糾正措施應該被記錄，形成管理評審報告，且這些記錄宜予以維護。如果在管理評審中發現重大不符合項，則必須啟動糾正改進措施。

信息系統應被定期核查（一般為半年一次或一年一次）是否符合組織的信息安全方針和標準。技術符合性核查宜由有經驗的系統工程師手動地（如必要，由適當的軟件工具支持）

和在自動化工具輔助下實施，以產生供技術專家進行后續解釋的技術報告。如果使用滲透測試或脆弱性評估，則宜格外小心，需要提前制定應急預案和做好應急準備，因為這些活動可能導致系統安全的損害。這樣的測試宜預先計劃，形成文件，且可重復執行。任何技術符合性核查宜僅由有能力的、已授權的人員來完成，或在他們的監督下完成。