9.2.1 Postanowienia ogólne
Organizacja powinna przeprowadzać audyty wewnętrzne w zaplanowanych odstępach czasu w celu uzyskania informacji na temat tego, czy system zarządzania bezpieczeństwem informacji:
a) jest zgodny z:
- wewnętrznymi wymaganiami organizacji dotyczącymi systemu zarządzania bezpieczeństwem informacji;
- wymaganiami określonymi w niniejszym dokumencie;
b) jest skutecznie wdrożony i utrzymywany.