Auditoría Interna.
La organización debe llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de la seguridad de la información:
a) Cumple con:
-
-
- Los requisitos propios de la organización para su sistema de gestión de la seguridad de la información.
- Los requisitos de esta norma internacional.
-
b) Está implementado y mantenido de manera eficaz.
La organización debe:
a) Planificar, establecer, implementar y mantener uno o varios programas de auditoría que incluyan la frecuencia, los métodos, las responsabilidades, los requisitos de planificación, y la elaboración de informes. Los programas de auditoría deben tener en cuenta la importancia de los procesos involucrados y los resultados de las auditorías previas.
b) Para cada auditoría, definir sus criterios y su alcance.
c) Seleccionar los auditores y llevar a cabo auditorías para asegurarse de la objetividad y la imparcialidad del proceso de auditoría.
d) Asegurarse de que se informa a la dirección pertinente de los resultados de las auditorías.
e) Conservar información documentada como evidencia de la implementación del programa de auditoría y de los resultados de esta.
