1.3 KiB
9.2 Interne audit
- Algemeen
De organisatie moet met geplande tussenpozen interne audits uitvoeren om informatie te verkrijgen of het managementsysteem voor informatiebeveiliging:
a) voldoet aan
1. de eigen eisen van de organisatie voor haar managementsysteem voor informatiebeveiliging;
2. de eisen van dit document;
b) doeltreffend is geïmplementeerd en onderhouden.
1. **Intern auditprogramma**
De organisatie moet (een) auditprogramma('s) plannen, vaststellen, implementeren en onderhouden, met inbegrip van de frequentie, methoden, verantwoordelijkheden, planningseisen en rapportage.
Bij het inrichten van het (de) interne auditprogramma('s) moet de organisatie rekening houden met het belang van de betrokken processen en met de resultaten van voorgaande audits.
De organisatie moet:
a) de auditcriteria voor en de reikwijdte van elke audit definiëren;
b) auditoren selecteren en audits uitvoeren zodanig dat de objectiviteit en de onpartijdigheid van het auditproces worden bewerkstelligd;
c) bewerkstelligen dat de resultaten van de audits worden gerapporteerd aan het relevante management.
Gedocumenteerde informatie moet beschikbaar zijn als bewijs van de implementatie van het (de) audit programma('s) en de auditresultaten.