Le contrôle des systèmes d'information doit notamment permettre de s'assurer que :
a) Le niveau de sécurité des systèmes informatiques est périodiquement apprécié et que, le cas échéant, les actions correctrices sont entreprises ;
b) Des procédures de secours informatique sont disponibles afin d'assurer la continuité de l'exploitation en cas de difficultés graves dans le fonctionnement des systèmes informatiques ;
c) L'intégrité et la confidentialité des informations sont en toutes circonstances préservées.