Organisaatioiden olisi suoritettava ulkoinen auditointi vähintään kerran kahdessa vuodessa tai aina kun toimivaltainen viranomainen sitä pyytää sovellettavien lakien ja asetusten mukaisesti.

Auditointeja suorittavat kyberturvallisuustarkastajat, joiden tehtävänä on laatia raportti tarkastuksen havainnoista. Organisaatioiden on syytä huomioida, että joissakin laeissa ja asetuksissa saatetaan vaatia auditoijilta erityisiä sertifikaatteja, esimerkiksi kansallinen kyberturvallisuustarkastuksen turvallisuustodistus, tai auditoinnin on oltava tietyn viranomaisen tekemä.

Organisaatioiden on toimitettava raportti kyberturvallisuusvaatimusten täytäntöönpanosta vastaavalle toimivaltaiselle viranomaiselle välittömästi sen saatuaan, jos lait ja asetukset niin määräävät.

Tietoturvan hallintajärjestelmän näkökulmasta poikkeamat ovat tilanteita, joissa:

• organisaatioon kohdistuviin tietoturvavaatimuksiin ei löydy vastinetta hallintajärjestelmästä
• hallintajärjestelmässä määritellyt menettelyt, tehtävät tai ohjeistukset eivät toteudu organisaation arjen toiminnassa

Systemaattisessa tietoturvatyössä kaikki havaitut poikkeamat on dokumentoitava. Poikkeaman käsittelemiseksi organisaation on määritettävä ja toteutettava parannukset, joilla poikkeama korjataan.

Organisaation on pyrittävä jatkuvasti parantamaan tietoturvallisuuden hallintajärjestelmän suorituskykyä. Tapoja parantamiseen pyritään löytämään aktiivisesti - ei ainoastaan auditointien tai selkeiden havaittujen poikkeamien kautta.

Tehtävän omistaja vastaa siitä, että hallintajärjestelmään tehdyt parannukset dokumentoidaan ja jaotellaan toteutettaviksi tehtäviksi, tehtävät toteutetaan suunnitelmien mukaisesti ja niillä aikaansaadut vaikutukset arvioidaan.