De acordo com a norma ABNT NBR ISO/IEC 27001:2013, uma organização deve programar auditorias internas a fim de verificar a aderência da conformidade do sistema de gestão da segurança da informação aos seus requisitos e à legislação vigente.
Sobre a realização da auditoria interna, é correto afirmar que:
- A os critérios de verificação devem ser sempre os mesmos, independentemente do escopo ou do processo da organização a ser auditado;
- B os auditores não devem conhecer e considerar os resultados das auditorias anteriores para não influenciarem o trabalho de verificação;
- C os auditores devem ser do próprio setor auditado a fim de possibilitar o aproveitamento de seu conhecimento acerca das atividades desenvolvidas;
- D os resultados das auditorias devem ser de conhecimento da direção responsável pelo setor auditado;
- E os relatórios das auditorias podem ser descartados na ausência de inconformidades.