二、 9.2 內部稽核
內部稽核主要目標為監控及確認組織本身有關ISMS的要求以及ISO 27001標準的要求，並監控所採取措施的實施和有效性。因此，必須訂定稽核方案並實施稽核計劃，計畫應包含頻率、程序、角色和職責、相關要求及可追溯性和報告等方面。另外，必須定義一種處理矯正和預防措施的方法（直接從稽核中得出的措施），並且必須確定誰將追蹤以確保矯正措施得到實施，下圖是稽核方案的管理循環：

稽核方案是一個循環過程，包括計劃、定義、執行、監控以及審核程序本身的過程，必須在稽核計劃和特定稽核活動是基於風險的考量，稽核計劃中需要考慮受影響流程（核心流程、損害影響、業務重要性）和IT系統以及先前審核結果的重要性。通用稽核標準必須在稽核方案中定義。根據組織的規模，執行稽核的數量、各個稽核的具體範圍、以及稽核過程中所需的詳細程度，也可以在此處直接定義。必須記錄已完成的稽核，並且提供相關資訊（例如稽核報告）作為已實施稽核計劃的證據，稽核方案管理報告必須定期產生有關稽核計劃的績效、稽核活動及其結果的資訊。
ISO 19011管理系統稽核指引以ISO 27007資訊安全管理系統稽核指引及ISO 27008控制措施稽核指引提供稽核規劃、執行及檢討等相關的規範。對內部稽核的要求，可能沒有必要做得像驗證公司一樣完整，但是基本的規範還有標準內的要求還是要做到。先來談談內部稽核的作用，稽核是管理系統內連結執行及改善的重要環節，在實作資訊安全管理系統的時候，有些問題可能潛藏在組織內部而難以被發現，此時就要借助稽核來幫助管理系統發現問題。所以內部稽核主要的目標是在協助組織發現問題，找出所規範的流程內有沒有不順暢、窒礙難行、浪費資源或是效能不彰的地方，讓整個管理系統能更加精進，達到持續改善的目標。
(一) 建立稽核方案
首先要為每一場稽核確立目標及範圍，稽核方案是規劃如何進行稽核的基礎，如果沒有明確的目標與範圍，會造成稽核時的困擾，例如：會計部門不在稽核範圍中，影響客戶付款資訊流程的稽核。
(二) 遴選稽核人員
結合條文7.2人員能力，所以必須挑選具備稽核能力的人員執行內部稽核作業，當然這通常是組織覺得比較困擾的地方。雖然稽核技巧、方式及手法可以經過訓練培養獲得，但是專業知識技能卻很難訓練，例如：防火牆政策設定、路由器設定檢查等，這些事項具有一定的專業性，組織內部只有少數人具備能力(或僅有一人)，這樣如何安排稽核人員稽核他們不熟悉的事物，變成挑選稽核人員時的困難點，所以在挑選稽核人員時可以參考下列事項：
• 定義所需要稽核員的能力
• 遴選符合能力的稽核人員(內部或外部)
• 設置監控稽核團隊效能之程序
• 執行人員或稽核團隊都必須具備特定領域的專業知識或技能。
• 稽核人員獨立性、公正性及適切性
(三) 執行稽核作業
稽核是一個尋找證據的過程，證據可以經由訪談人員、觀察現場活動或是審查文件資料獲得，內部稽核著重在組織本身內部流程的稽核，確認內部作業是否依照設定的規範進行，並檢查現有流程及措施效能，整體是否符合ISO 27001標準的要求。典型稽核作業流程如下：

(四) 稽核結論
稽核的目標是確認作業流程是否符合標準，如有發現不符合事項應向高階管理人員報告，並由稽核團隊決定後續追蹤及確認消除不符合事項的方式，對於不符合事項在後面的章節還會提到，此處先確認不符合事項應由稽核人員確認是否改善完畢，因為不符合事項是稽核人員所發現，事實的判定或依據應由稽核員進行確認。
(五) 稽核監控審查
稽核作業也是資訊安全管理系統的一環，也必須對本項作業監控審查，確認稽核的有效性，而不是虛應故事，如此並無法發現組織既存的問題。所以針對稽核方案及計畫的適切性、範圍及目標、稽核所需資源、稽核員能力、稽核證據及稽核文件化資訊都必須適當審查及確認。