§ 21
Požadavek testování bezpečnosti informačního systému
(1) Bezpečnost informačního systému se musí před jeho certifikací ověřit testováním. Testování provádí komise, jejíž členové nesmí být ve vztahu k informačnímu systému a k vývojovému týmu podjati tím, že by se podíleli na vývoji informačního systému, že by měli osobní zájem na výsledcích testování nebo je s vývojovým týmem spojoval osobní anebo pracovní a jiný obdobný vztah. K provedení testování se nesmějí používat utajované informace.
(2) Výsledky testů musejí prokázat, že bezpečnostní funkce jsou plně v souladu s bezpečnostní politikou informačního systému. Výsledky testů musí být zadokumentovány. Chyby nalezené během testování musí být odstraněny a jejich odstranění musí být ověřeno následnými testy.