9.2內部審核

組織應按計劃的時間間隔進行內部審核，以提供信息，確定信息安全管理體系：

a)是否符合：

1)組織自身對信息安全管理體系的要求；

2)本標準的要求。

b)是否得到有效實現和維護。

組織應：

c)規劃、建立、實現和維護審核方案(一個或多個)，包括審核頻次、方法、責任、規劃要求和報告。審核方案應考慮相關過程的重要性和以往審核的結果。

d)定義每次審核的審核準則和范圍。

e)選擇審核員并實施審核，確保審核過程的客觀性和公正性。

f)確保將審核結果報告至相關管理層。

g)保留文件化信息作為審核方案和審核結果的證據。