Regelmäßige und Zielgerichtete Prüfung: Es ist von Bedeutung, dass Ihre Organisation in geplanten Abständen sowie nach signifikanten Änderungen die Handhabung und Implementierung der Informationssicherheitsmaßnahmen prüft.

Initiative des Managements: Das Management sollte proaktiv die unabhängige Bewertung beauftragen. Diese Bewertung dient der Sicherstellung, dass der Ansatz zur Informationssicherheit sowohl zweckmäßig als auch angemessen und wirksam ist.

Fokus der Prüfung: Die Bewertung sollte nicht nur den aktuellen Sicherheitsstatus überprüfen, sondern auch Potenziale zur Optimierung sowie notwendige Anpassungen in den Sicherheitsrichtlinien und -zielen identifizieren.

Auswahl der Prüfer: Personen, die die Prüfung durchführen, sollten weder direkt noch indirekt mit dem zu prüfenden Bereich verbunden sein. Möglichkeiten hierfür könnten interne Auditoren, externe Experten oder spezialisierte Institutionen sein. Wichtig ist, dass diese Personen oder Einrichtungen über die erforderlichen Kenntnisse und Erfahrungen verfügen.

Dokumentation: Die Ergebnisse jeder unabhängigen Prüfung sollten sorgfältig dokumentiert und dem Management, welches die Überprüfung beauftragt hat, vorgelegt werden. Es ist ratsam, diese Unterlagen für zukünftige Referenzen und Nachweise aufzubewahren.

Reaktionsmaßnahmen: Falls Mängel im Ansatz des Informationssicherheitsmanagements identifiziert werden – beispielsweise wenn dokumentierte Ziele nicht erreicht werden oder nicht im Einklang mit den Informationssicherheitsrichtlinien stehen – sollte das Management umgehend Korrekturmaßnahmen in Betracht ziehen und implementieren.