(4) المراجعة: تمثل عملية المراجعة التأكد من أن مقاييس الأمن مقبولة في نظام عمل محدد. وفي هذا الصدد، لا توجد طريقة معينة لمعرفة مدي تجاوز المستخدم الاعتماد أو الاعتراف الممنوح له بدون تلك المراجعات، كما لا توجد طريقة أخري أيضا توضح أن مقاييس الأمن يجب أن تحدد وتقوى بدون معرفة أولية لنواحي القصور التي قد تتواجد فيها، وبذلك تعتبر عملية المراجعة تكملة أساسية لكل مقاييس الأمن. وفي نفس الوقت، لن تكون أي من المقاييس فعالة بدون توافر عدد من الخصائص ذات التوجه البشري التي تتمثل في التالي:
-مساند الإدارة والإدارة العليا بصفة خاصة لسياسات ومقاييس وعمليات أمن المعلومات، ويجب عليهم الإلزام الكامل بها قبل إعداد الأمن وإدارته.
-ضرورة إلمام كل العاملين في كل مستويات الإدارة بالمخاطر المرتبطة بأمن المعلومات وبأهميتها لمنظمتهم.
-أهمية توافق وترابط كل برامج التدريب والتوعية عن أمن المعلومات مع حاجات المنظمة.
-ضرورة مراعاة التزام الأفراد الآخرين (كأفراد الصيانة، المستشارين، المتعاقدين، القوى العاملة المؤقتة، عمال النظافة، الخ) المتعاملين مع المنظمة والمتاح لهم الوصول إلي أصول معلومات المنظمة بقواعد وشروط الأمن الموافق عليا.
-ما الذي سوف يكون عليه تأثير حدث أمن رئيسي علي سمعة وشهرة المنظمة؟ وعلي أدائها المالي والتشغيلي، الخ؟
-كيف يصبح حرجا علي المنظمة وتوابعها التي تساند نظم وتسهيلات المعلومات مثل شبكة الويب، والبريد الإلكتروني، وتسهيلات الوسائل أو الوسائط المتعددة، الخ؟
-كيف تستجيب المنظمة جيدا للقوانين والتشريعات الملائمة، كما في حالة قوانين الملكية الفكرية، التجارة الإلكترونية والتوقيع الإلكتروني؟
-ما مسئوليات المنظمة القانونية المرتبطة بأمن المعلومات؟
و حتى يمكن للمنظمة تطوير سياسات فعالة لأمن المعلومات، يجب عليها القيام بالمتطلبات والشروط المرتبطة بتقدير المخاطرة والبحث عن الأبعاد المعرضة للأخطار والهجمات المختلفة. ويجب أداء هذه العملية علي أساس دوري للبحث عن المشكلات الظاهرة وغير الظاهرة كما في حالات المزاولات السيئة المرتبطة بكلمات المرور، حذف التحديثات والحزم في تسهيلات البنية الأساسية، أجهزة الموديم للمكالمات غير المعتمدة وغير ذلك من مخاطر ترتبط بشبكة معلومات المنظمة.