Эффективность защиты информации определяется степенью соответствия результатов защиты информации целям защиты информации, в соответствии с ГОСТ Р 50922.
Оценка эффективности проводится для системы защиты персональных данных не реже одного раза в 3 года.
Оценка соответствия может проводиться в формах государственного контроля (надзора), испытания, регистрации, подтверждения соответствия (сертификация, декларирование), приемки и ввода в эксплуатацию объекта, строительство которого закончено, и в иной форме (№ 184-ФЗ «О техническом регулировании»).