9.2. Auditoría interna

9.2. Auditoría interna

9.2.1 Generalidades
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de la seguridad de la información:

1. 1. Se ajusta a:

1. 1. 1. Los requisitos de la empresa para el SGSI.
      2. Los requisitos de la ISO/IEC 27001:2022.

1. 2. Se implementa y mantiene de manera efectiva.

9.2.2 Programa de auditoría interna
La organización debe planificar, establecer, implementar y mantener uno o varios programas de auditoría, incluida la frecuencia, métodos, responsabilidades, requisitos de planificación e informes.
Al establecer los programas de auditoría interna, la organización debe considerar la importancia de los procesos en cuestión y los resultados de auditorías anteriores.
La organización deberá:

1. 1. Definir los criterios de auditoría y el alcance de cada auditoría.
   2. Elegir auditores y llevar a cabo auditorías para garantizar objetividad e imparcialidad en el proceso de auditoría.
   3. Asegurar que los resultados de las auditorías se informen a la dirección correctamente.

La información documentada deberá estar disponible como evidencia de la implementación del programa de auditoría y los resultados de la auditoría.