Organisaatio toteuttaa sisäisiä auditointeja oman menettelykuvauksensa mukaisesti. Tavoitteena on tarkistaa:
- onko tietoturvallisuuden hallintajärjestelmä organisaation omien tietoturvallisuuden hallintajärjestelmää koskevien vaatimusten mukainen
- onko tietoturvallisuuden hallintajärjestelmä muiden toimintaa koskevien tietoturvavaatimusten tai noudatettujen standardien mukainen
- onko hallintajärjestelmää toteutettu ja ylläpidetty vaikuttavasti
Auditointien järjestämisestä ja tuloksista on säilytettävä dokumentoitua tietoa.