Tổ chức chỉ đạo kiểm tra nội bộ hệ thống theo kế hoạch để xác định các mục tiêu quản lý, biện pháp quản lý, quy trình, thủ tục trong hệ thống quản lý ATTT: 1/. Theo các yêu cầu của tiêu chuẩn này, pháp lý và các quy định liên quan. 2/. Theo các các yêu cầu trong đảm bảo an toàn thông tin.
3/. Phải đảm bảo hiệu quả trong triển khai và duy trì. 4/. Hoạt động diễn ra đúng như mong muốn.
Các chương trình kiểm tra sẽ được lên kế hoạch và cần xem xét đến các vấn đề như hiện trạng và ý nghĩa của các quy trình và phạm vi được kiểm tra. Các chỉ tiêu, phạm vi, tần suất và biện pháp sẽ được xác định. Sự lựa chọn người tiến hành kiểm tra (kiểm tra viên) và cách hướng dẫn, chỉ đạo kiểm tra sẽ đảm bảo tính khách quan, công bằng cho quá trình kiểm tra. Kiểm tra viên không nên tự kiểm tra công việc của mình.
Các trách nhiệm và yêu cầu cho việc lập kế hoạch và hướng dẫn kiểm tra, báo cáo kết quả và lưu giữ hồ sơ (xem 2.3.3.3) phải được xác định rõ ràng trong một thủ tục dưới dạng văn bản.
Ban quản lý chịu trách nhiệm cho phạm vi đang được kiểm tra sẽ phải đảm bảo các hoạt động được thực hiện đúng thời hạn nhằm loại bỏ các vi phạm. Các hoạt động tiếp theo sẽ bao gồm việc thẩm tra các hoạt động đã thực hiện và lập báo cáo về kết quả thẩm tra này (xem 2.7).
Tiêu chuẩn ISO 19011:2002, ”Guidelines for quality and/or environemental management system auditing” có thể cung cấp thông tin hỗ trợ cho việc triển khai việc kiểm tra nội bộ hệ thống quản lý ATTT[4].
34