(1) Bezpečnost informačního systému se musí před vydáním certifikátu ověřit nezávislým testováním. K provedení testování se nesmějí používat utajované informace.

(2) Výsledky testů musí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.