Una vez generada suficiente evidencia como parte de la operación en la etapa “Hacer”, se debe monitorear y revisar los resultados para determinar si están alineados con los objetivos e intenciones de la administración a fin de alcanzar el objetivo consecutivo, que es: proteger la confidencialidad, integridad y disponibilidad de la información de la institución.
Estos resultados están enfocados tanto en procesos de gestión como controles de seguridad de la información. Para revisar los resultados se realizan auditorías internas, ejecución planificada de análisis y evaluación de riesgos, revisiones gerenciales.