Organisasjonens øverste ledelse skal gjennomføre internrevisjoner med planlagte intervaller for å gi informasjon om hvorvidt ledelsesystemet for informasjonsikkerhet:
a) er i samsvar med:
- organisasjonens egne krav til ledelsesystemet for informasjonsikkerhet;
- kravene i dette dokumentet;
b) er implementert og vedlikeholdt på en effektiv måte.