9.2. Auditoría interna
9.2. Auditoría interna
9.2.1 Generalidades
La organización debe realizar auditorías internas a intervalos planificados para proporcionar información sobre si el sistema de gestión de la seguridad de la información:
-
- Se ajusta a:
-
-
- Los requisitos de la empresa para el SGSI.
- Los requisitos de la ISO/IEC 27001:2022.
-
-
- Se implementa y mantiene de manera efectiva.
9.2.2 Programa de auditoría interna
La organización debe planificar, establecer, implementar y mantener uno o varios programas de auditoría, incluida la frecuencia, métodos, responsabilidades, requisitos de planificación e informes.
Al establecer los programas de auditoría interna, la organización debe considerar la importancia de los procesos en cuestión y los resultados de auditorías anteriores.
La organización deberá:
-
- Definir los criterios de auditoría y el alcance de cada auditoría.
- Elegir auditores y llevar a cabo auditorías para garantizar objetividad e imparcialidad en el proceso de auditoría.
- Asegurar que los resultados de las auditorías se informen a la dirección correctamente.
La información documentada deberá estar disponible como evidencia de la implementación del programa de auditoría y los resultados de la auditoría.