9.2 Audit internal

Organisasi harus melaksanakan audit internal secara berkala.

Audit internal bertujuan untuk memastikan:

a) sistem manajemen keamanan informasi memenuhi:

1) persyaratan keamanan informasi yang ditentukan organisasi.

2) persyaratan ISO 27001.

b) sistem manajemen keamanan informasi efektif diterapkan dan dipelihara.

Organisasi harus:

c) membuat program audit (frekuensi, metode, penanggung jawab, perencanaan dan laporan audit).

d) menentukan kriteria dan ruang lingkup audit.

e) memilih auditor independen untuk objektivitas dan ketidakberpihakan proses audit.

f) memastikan bahwa hasil audit dilaporkan kepada manajemen.

g) Bukti program audit dan hasil audit harus terdokumentasi.