Establecer que la Política de seguridad en la adquisición, desarrollo y mantenimiento de los sistemas de información deberá ser revisada cuando ocurran cambios significativos (técnicos, normativo, negocio) o al menos cada tres años para evaluar su implantación y modificada cuando así se requiera, a efectos de eficaz cumplimiento de sus objetivos.