Verificar.
La empresa tiene que ejecutar los procedimientos de monitorización y revisión para detectar a tiempo todos los errores generados en los resultados obtenidos en el procesamiento de la información. Debe identificar las fisuras y los incidentes de seguridad y ayudar a la dirección de la organización a determinar si las actividades desarrolladas por las personas y los dispositivos tecnológicos ayudan a garantizar la seguridad de la información.
La organización debe revisar regularmente la efectividad del Sistema de Gestión, que se cumple la política de seguridad y los objetivos del SG, además de revisar todos los resultados obtenidos en las auditorías, de los incidentes y las mediciones de eficacia, sugerencias y observaciones realizadas por todas las partes interesadas.