Vaadittujen lakien, asetusten, standardien sekä sopimusvelvoitteiden noudattaminen voi olla yhtä suuri haaste, kuin jatkuvasti muuttuvan uhkaympäristön ja uusien kyberhyökkäysten muotojen käsittely.
Organisaation on dokumentoitava tietoturvallisuuteen liittyvät vaatimukset sekä organisaation toimintamalli niiden täyttämistä varten.
On tärkeää huomata, että iso osa vaatimuksista (esim. lait, standardit) ovat kehittyviä kokonaisuuksia. On suositeltavaa määritellä dokumentaatiolle tarkistusväli kuvaamaan sitä, millä frekvenssillä muutoksia vaatimuksissa on vähintään tarkasteltava.
Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.
Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:
Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.