Revue indépendante de la sécurité de l'information

Des audits internes de fonctionnement du SMSI doivent être menés:

• périodiquement (en général annuellement)
• lorsque des changements significatifs se produisent (nouvelles activités ou changements majeurs)

La compétence et l'indépendance des auditeurs doivent être démontrés. Les rapports d'audit doivent être communiqués à la direction et conservés.

Les non-conformités doivent déclencher des actions correctives.