Μία από τις απαιτήσεις του ISO 27001 είναι η περιοδική εκτέλεση εσωτερικών επιθεωρήσεων. Αυτή η απαίτηση περιλαμβάνει και τη διατήρηση εγγράφων ως αποδεικτικά των αποτελεσμάτων αυτών των επιθεωρήσεων, με τη μορφή αναφορών.

Η εσωτερική επιθεώρηση του Συστήματος Διαχείρισης Ασφάλειας Πληροφοριών (ΣΔΑΠ), έχει σαν σκοπό, να διερευνήσει εάν:

• Οι απαιτήσεις του ISO 27001 ικανοποιούνται.
• Οι απαιτήσεις του ίδιου του οργανισμού στην ασφάλεια των πληροφοριών του ικανοποιούνται.
• Ο σκοπός του ΣΔΑΠ επιτυγχάνεται.
• Οι πολιτικές, οι διαδικασίες και οι έλεγχοι είναι αποτελεσματικοί.

Σύμφωνα με την ενότητα 9.2 του ISO 27001, απαιτείται:

• Ο οργανισμός να σχεδιάζει, να καθορίζει και να τηρεί ένα πρόγραμμα εσωτερικών επιθεωρήσων, στο οποίο να περιλαμβάνετονται: η συχνότητα, η μεθοδολογία, οι υπεύθυνοι, τα απαιτούμενα του σχεδιασμού και η αναφορά. Θα πρέπει επίσης να λαμβάνονται υπόψη και οι προηγούμενες εσωτερικές επιθεωρήσεις.
• Να καθορίζει τα κριτήρια και τον σκοπό κάθε επιθεώρησης.
• Να επιλέγει αντικειμενικούς επιθεωρητές έτσι ώστε να εξασφαλίζει την αντικειμενικότητα της διαδικασίας της επιθεώρησης.
• Να φροντίζει ώστε τα αποτελέσματα της επιθεώρησης να κοινοποιούνται στους αρμόδιους διευθυντές.
• Να διατηρεί έγγραφα στα οποία θα αποδεικνύεται το πρόγραμμα και τα αποτελέσματα των επιθεωρήσεων.

Δραστηριότητες που περιλαμβάνονται σε μία εσωτερική επιθεώρηση ISO 27001

• Έλεγχος εγγράφων
• Αποδεικτική δειγματοληψία
• Συνεντεύξεις προσωπικού σε θέσεις κλειδιά για την ασφάλεια των πληροφοριών
• Συνεντεύξεις προσωπικού σε άλλες θέσεις ή εξωτερικούς συνεργάτες
• Αξιολόγηση των ευρυμάτων
• Σύνταξη της αναφοράς