(1) Soulad bezpečnostních opatření s bezpečnostní dokumentací ověřuje provozovatel systému testováním. K provedení testování nelze používat utajované informace.

(2) Soulad bezpečnostních opatření s právními předpisy, vnitřními předpisy a dotčenými smluvními závazky a dodržování bezpečnostních opatření provozovatel systému průběžně prověřuje, u informačního systému nejpozději bezprostředně před podáním opakované žádosti o certifikaci podle § 48.

(3) Podmínky provádění testování, podmínky prověřování podle odstavce 2 a jejich výsledky jsou součástí dokumentace k bezpečnostním testům.