A organização deve conduzir auditorias internas e intervalos planejados para prover informações
sobre se o sistema de gestão da segurança da informação. A organização deve planejar, estabelecer, implementar e manter programas de auditoria, incluindo frequência, métodos, responsabilidades, requisitos de planejamento e relato.
Os resultados da análise crítica pela Direção devem incluir decisões relativas às oportunidades para melhoria contínua e quaisquer necessidades de mudanças do sistema de gestão da segurança da informação.