Um sicherzustellen, dass die Maßnahmen des Sicherheitskonzepts immer den Anforderungen entsprechen, müssen sie kontinuierlich überprüft werden.

Diese Überprüfungen sollten sich an folgenden Leitfragen orientieren:

• Welche Ziele der Informationssicherheit sind aktuell vordringlich?
  Die Bedeutung von Sicherheitszielen kann sich im Zeitablauf verändern. So kann es wichtiger werden, die Vertraulichkeit von Informationen zu schützen, wenn sich gesetzliche Rahmenbedingungen ändern oder aber die Institution mit Daten arbeitet, die dies verstärkt erfordern. Alle Maßnahmen zur Erhaltung der Vertraulichkeit müssen daher besonders sorgfältig geprüft werden. Eine weitere wichtige Frage ist, ob die gewählten Sicherheitsmaßnahmen noch der Gefährdungslage entsprechen. Auch ist zu prüfen, ob neue technische Verfahren einen effizienteren und wirksameren Schutz bieten können.
• Wer ist verantwortlich für die Überwachung des Informationssicherheitsprozesses?
  Häufig ist die Institution so komplex, dass der ISB nicht alle Überprüfungen leiten und durchführen kann. Dann ist es wichtig, dass für verschiedene Bereiche Personen benannt sind, die diese Maßnahmen konzipieren, umsetzen, Ergebnisse dokumentieren sowie Verbesserungen planen und steuern. Bei einer solchen verteilten Verantwortung ist eine gute Zusammenarbeit mit dem ISB wichtig, der über alle Schritte informiert werden muss.
• Wie häufig sind die Verfahren zu überprüfen?
  Für weniger wichtige Schutzmechanismen kann eine Überprüfung seltener erfolgen als für kritische Prozesse. Mindestens einmal pro Jahr muss das Sicherheitskonzept darauf überprüft werden, ob es noch effektiv ist, also den Zielen der Informationssicherheit im Unternehmen oder der Behörde entspricht. Wenn es einen Sicherheitsvorfall gegeben hat, sollte dies Anlass für eine zusätzliche Prüfung sein.

Die Umsetzungshinweise in ISMS.1.M11: Aufrechterhaltung der Informationssicherheit geben wichtige Empfehlungen zur Vorgehensweise bei der Überprüfung des Sicherheitsprozesses.