ГОСТ Р ИСО/МЭК 27001-2021. Национальный стандарт Российской Федерации. Информационная технология. Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности. Требования

9.2 Внутренний аудит

Организация должна через запланированные интервалы времени проводить внутренние аудиты с целью определения, насколько система менеджмента информационной безопасности:

a) соответствует:

1) собственным требованиям организации к системе менеджмента информационной безопасности;

2) требованиям настоящего стандарта;

b) эффективно реализована и поддерживается.

Организация должна:

c) планировать, разрабатывать, реализовывать и поддерживать программу(ы) аудита, включая определение периодичности и методов проведения аудита, ответственность, требования к планированию и предоставление отчетности аудита. Программа(ы) аудита должна(ы) учитывать значимость проверяемых процессов и результаты предыдущих аудитов;

d) определять критерии и область проведения каждого аудита;

e) выбирать аудиторов и сопровождать проведение аудитов для обеспечения уверенности в объективности и беспристрастности процесса аудита;

f) обеспечивать предоставление результатов аудитов соответствующим руководителям организации;

g) хранить документированную информацию в качестве свидетельств реализации программ(ы) аудита и результатов аудита.