Organisaation johtajan on määräajoin tarkistettava organisaation tietoturvapolitiikka varmistaakseen sen jatkuvan soveltuvuuden ja tehokkuuden. Tämä tarkastelu olisi tehtävä vähintään joka toinen vuosi.

Uudelleentarkastelun yhteydessä olisi arvioitava toteutettujen turvatoimien riittävyys sen varmistamiseksi, että ne ovat linjassa politiikan tavoitteiden kanssa.

Lisäksi tarkistuksessa olisi käsiteltävä turvallisuusluokituksia ja kuhunkin turvallisuusluokkaan sovellettuja erityisiä suojatoimenpiteitä.

Ylimmän johdon on katselmoitava organisaation tietoturvallisuuden hallintajärjestelmä suunnitelluin aikavälein varmistaakseen, että se on edelleen soveltuva, asianmukainen ja vaikuttava.

Johdon katselmuksessa on käsiteltävä ja kommentoitava vähintään seuraavien asioiden tilaa:

• aiempien johdon katselmusten vuoksi käynnistettyjen parannusten (tai muiden toimenpiteiden) tilanne
• tietoturvallisuuden hallintajärjestelmän kannalta olennaisten tulevat muutokset
• tietoturvan hallintajärjestelmän suorituskyky (häiriöt, mittarointi, auditointien tulokset ja johdon määrittelemien tietoturvatavoitteiden täyttyminen)
• sidosryhmien antama palaute tietoturvasta
• riskien arviointi- ja käsittelyprosessin toiminta

Katselmusten suorittamisesta ja tuloksista on ylläpidettävä dokumentoitua tietoa.