在PDCA循環中，不可避免的，在完成規畫與執行後，要有一個機制來驗證機關所有採取的作業是符合當初規畫的、是合法的、是有效的。這就是資料安全稽核機制。這個稽核機制必須由一獨立之單位或機構來執行，可以是獨立於個人資料專責組織，也可以是外部第三方公正機構。不管是哪一種，他必須確保機關所有採取之個人資料管理與保護措施暨符合當初規畫的機制，同時也必須達到個人資料保護法之規範。

需進行稽核之範圍如下：
-管制區域：
1.存放基敏性資料區域是否定義為管制區域
2.進出需是否有控管機制
3.進出記錄之保管

-人員：
1.進出管制區域人員身分確認
2.進出管制區域之檢查項目

儲存媒體：
1.透過系統接觸存有個人資料之媒體：
1.1不同業務需求，設定不同之存取權限
1.2存取行為必須被記錄：
 1.2.1存取者帳號
 1.2.2存取者使用之設備
 1.2.3存取者使用之網路IP
 1.2.4存取時間
 1.2.5存取資料內容
1.3IM管控稽核
1.4E-Mail外送管控稽核
1.5人員進出廠區是否有檢查攜帶可攜式資訊設備
2.直接接觸存有個人資料之媒體：
2.1是否備有可存取之人員清單
2.2人員接觸個人資料媒體之記錄
2.3存有個人資料之媒體移出廠區之相關檢查機制與記錄

-委外管理
-針對各項接觸個資之記錄必須由有被法律認可之機制進行記錄與儲存（例如：以數位型式儲存之記錄必須是無法被人為新增、修改、與刪除）
-機關必須指定專人定期稽核上述所提及之記錄以及相關作業流程是否被落實。稽核記錄需定期呈送機關高階主管進行核覆且妥善保管以備查。
-其他個人資料管理計畫中所有執行之措施。