Virksomheten skal kontrollere at sikkerhetstiltak er etablert og fungerer etter hensikten, dvs. at risiko for uønskede hendelser reduseres til akseptabelt nivå slik at forsvarlig sikkerhetsnivå er oppnådd for informasjonssystemet. Dersom kontrollen avdekker at forsvarlig sikkerhetsnivå ikke er oppnådd, må tiltakene endres eller erstattes og ny kontroll gjennomføres.

Kontroller kan gjennomføres som (tekniske) undersøkelser, (IKT-)sikkerhetsrevisjoner eller dokumentgjennomganger, og kan omfatte automatiserte undersøkelse av eksempelvis funksjoner og sårbarheter.

Alle sikkerhetstiltak skal kontrolleres, men dersom et tiltak ivaretas av flere komponenter som utfører identiske oppgaver, er det tilstrekkelig å teste et utvalg av disse. Dette kan eksempelvis gjelde identiske dioder, sensorer, brannmurer eller switcher som er konfigurert likt på ulike installasjonssteder.

Det stilles ikke formkrav til dokumentering av kontroller, men dokumentasjonen må som minimum angi sammenhengen mellom beskyttelsesbehov og tiltak sammen med kontrollresultatene for det enkelte tiltak.