Como parte del ciclo del Sistema de Gestión de Seguridad de la Información (en adelante SGSI) de esta norma internacional las organizaciones deben llevar a cabo auditorías internas a intervalos planificados, para proporcionar información acerca de si el sistema de gestión de seguridad de la información cumple con los requisitos propios establecidos por la organización y los requisitos de la norma internacional ISO 27001, así como para constatar que el sistema está implementado y mantenido de manera eficaz.
La organización debe seguir los siguientes pasos para la realización de la auditoría interna: