Die ISO 27001 Norm fordert interne Audits, die prüfen, ob das Managementsystem den Normforderungen nachkommt und eigene Anforderungen erfüllt. Interne Audits haben auch den Zweck, Abweichungen frühzeitig zu erkennen und diese nachfolgend abzustellen bzw. zu beheben. Interne Audits müssen in einem Auditprogramm geplant werden, und die Durchführung muss dokumentiert werden. In einem Zertifizierungsaudit und in nachfolgenden Überwachungsaudits werden diese internen Audits von dem Auditor der Zertifizierungsstelle kontrolliert.