# 9.2 Interne audit

1.  **Algemeen**

> De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:

a)  voldoet aan

    1.  de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;

    2.  de eisen van dit document;

b)  doeltreffend is geïmplementeerd en onderhouden.

    1.  **Intern auditprogramma**

> De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
>
> Bij het inrichten van het (de) interne auditprogramma(\'s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
>
> De organisatie moet:

a)  de auditcriteria voor en de reikwijdte van elke audit definiëren;

b)  auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;

c)  bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.

> Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma(\'s) en de auditresultaten.
>