9.2. Auditoría interna

La empresa debe llevar a cabo las auditorías internas a intervalos planificados, para proporcionar información sobre el Sistema de Gestión de Seguridad de la Información:

a) Está conforme con los requisitos de la empresa para su sistema de gestión y los requisitos de la norma ISO 27001
b) Está implementado y mantenido de forma eficaz

La organización debe:

a) Planificar, establecer, implantar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación y la elaboración de informes. Los programas de auditoría deben tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías
b) Para cada auditoría, definir los criterios y el alcance de ésta
c) Seleccionar a los auditores y llevar a cabo auditorías para asegurarse la objetividad y la imparcialidad del proceso de auditoría
d) Asegurase de que los resultados de las auditorías se informan a la dirección pertinente
e) Conservar información documentada como evidencia de la implantación del programa de auditoría y de los resultados de ésta