規格を引用すると、「…組織は,定められた間隔でこれらの管理策を検証しなければならない」と書かれています。
つまり「検証しなければならない」と書かれているだけで、どこまで具体的な検証をするかは求められていません。簡易な「検証」の例としては以下になりますので、ご参考ください。
- 復旧マニュアルを作成し、復旧の直前まで問題なく操作できることを、目視で確認する
- アプリケーション全体を対象とせず、一部リソースのみ(例:DBのみ、アプリケーションサーバのみ、など)を対象として検証を行う
- 実際にサーバーがダウンしたことを想定し、復旧までの机上訓練を実施する