Når I har gennemgået de planlagte aktiviteter, følger I op på, om I har opnået jeres mål for informationssikkerheden. I skal finde svar på, hvordan det er gået med indsatsen fra planlægnings- og etableringsfaserne.
Denne opfølgning kaldes også for en intern audit, og det er vigtigt, at den er forankret i ledelen, som skal gennemgå og bl.a. tage stilling til følgende:
Har jeres sikkerhedstiltag fx omhandlet et IT-system kan white hat hackere fx teste om det fungerer.
Også i denne fase er det vigtigt at have fokus på dokumentation.
Der er nogle få formkrav til dokumentationen. Det gælder fx, at oprettelse og opdatering af dokumenter skal være styret.
Det indebærer, at der skal være: