A A organização deve conduzir auditorias internas do SGSI a intervalos determinados pela direção para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI atendem aos requisitos da organização e de seus parceiros.
B A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI são executados conforme esperado.
C A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI atendem aos requisitos de segurança da informação identificados.
D A seleção dos auditores e a execução das auditorias devem assegurar objetividade e imparcialidade do processo de auditoria. Os auditores não devem auditar seu próprio trabalho.
E A organização deve conduzir auditorias internas do SGSI a intervalos planejados para determinar se os objetivos de controle, controles, processos e procedimentos do seu SGSI estão mantidos e implementados eficazmente.