Segundo a Norma Complementar n.03/IN01/DSIC/GSIPR, todos os instrumentos normativos gerados a partir da Política de Segurança da Informação e Comunicações (POSIC), incluindo a própria POSIC, devem ser revisados sempre que se fizer necessário, não excedendo o período máximo de: