De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve programar auditorias internas a fim de verificar a aderência da conformidade do sistema de gestão da segurança da informação aos seus requisitos e à legislação vigente.
Sobre a realização da auditoria interna, é correto afirmar que:
os critérios de verificação devem ser sempre os mesmos, independentemente do escopo ou do processo da organização a ser auditado;
os auditores não devem conhecer e considerar os resultados das auditorias anteriores para não influenciarem o trabalho de verificação;
os auditores devem ser do próprio setor auditado a fim de possibilitar o aproveitamento de seu conhecimento acerca das atividades desenvolvidas;
os resultados das auditorias devem ser de conhecimento da direção responsável pelo setor auditado;
os relatórios das auditorias podem ser descartados na ausência de inconformidades.