9.3.5 มีการตรวจสอบว่าบุคลากรได้รับทราบ เข้าใจ ยอมรับ และการประเมินผลการปฏิบัติตามระเบียบปฏิบัติด้านความมั่นคงปลอดภัยสารสนเทศอย่างเคร่งครัด และนำผลการประเมินมาปรับกระบวนการบังคับใช้ระเบียบปฏิบัติ อย่างต่อเนื่อง