本篇延續Day 12 的步驟往下說明，下一個步驟是

評估、監控與檢討
(內部審查)

通過持續的重新檢驗ISMS系統的運作(通常至少一年一次)，才能讓ISMS系統維持住健康的狀態。此步驟的目標是回頭檢視當初執行計畫內列入的資安指標項目，在ISO27001中讓企業可以自行決定這個步驟的執行規模與時間，因此可以分開部門進行資安環節的檢討與審查，如此一來才不會一次耗掉太多公司的資源並能夠更快速的針對每次的檢查結果進行檢討與修正，接著將新增的項目或是改善的項目納入下一個週期的評估內容。

再來是 驗證ISMS
(外部審查)

此階段通常會找具有審核資格的公司協助進行驗證，甚至可以在內部已經大略依照ISO標準調整並實施相關措施以約聘的方式讓相關顧問公司在最後階段做驗證前的指導與改進建議。如此一來可以大幅提高驗證通過的可能性。從申請驗證後，會開始針對驗證的範圍進行報價，雙方同意後便是簽約並安排檢核時程，在文件審查之前會有一個預評(模擬)，而文件審查通過後便是完成第一階段驗證，若有不符合標準的事項相關矯正措施要在13週內確認或追蹤稽核完成第二階段驗證。若第二階段驗證後的內容皆完成標準便會得到建議發證的資格，並於3-4個月內頒發證書。但是拿到證書後每半年至一年需要定期複檢，而每三年則是全面複檢(從文件審查開始)。