Выполнение требований ст. 18.7 приказа фстэк №17

коллеги, в каком виде вы обычно проводите контроль за обеспечением уровня защищенности информации согласно приказу фстэк №17 (ст. 18.7)?) контроль уязвимостей сканером уязвимостей вроде xspider, актирование оценки эффективности принимаемых мер, что-то еще?