9.2 内部監査
9.2.1 一般
組織は,ISMS が次の状況にあるか否かに関する情報を提供するために,あらかじめ定めた間隔で内部
監査を実施しなければならない。
a) 次の事項に適合している。
1) ISMS に関して,組織自体が規定した要求事項
2) この規格の要求事項
b) 有効に実施され,維持されている。
9.2.2 内部監査プログラム
組織は,監査プログラムを計画し,確立し,実施し,維持しなければならない。これには,その頻度,
方法,責任,計画策定の要求事項及び報告を含める。
そ(れら)の内部監査プログラムを確立するとき,組織は,関連するプロセスの重要性及び前回までの監査の結果を考慮しなければならない。
組織は,次に示す事項を行わなければならない。
a) 各監査について,監査基準及び監査範囲を明確にする。
b) 監査プロセスの客観性及び公平性を確保するために,監査員を選定し,監査を実施する。
c) 監査の結果を関連する管理層に報告することを確実にする。
組織は,監査プログラムの実施及び監査結果の証拠として,文書化した情報を利用可能な状態にしなければならない。