Dalam pelaksanaan resertifikasi, tim audit melakukan review terhadap :
- efektifitas penerapan sistem manajemen secara menyeluruh terkait dengan perubahan internal atau eksternal dan relevansi dan kemampuan pelaksanaanya untuk lingkup sertifikasi;
- komitmen untuk memelihara efektivitas dan peningkatan penerapan sistem manajemen untuk mencapai kinerja secara keseluruhan
- pengoperasian sistem manajemen yang disertifikasi berkontribusi terhadap pencapaian kebijakan dan sasaran organisasi
- Khusus audit ISO/IEC 27001 dengan tambahan agenda meliputi :
- kepemimpinan manajemen puncak dan komitmen terhadap kebijakan keamanan informasi;
- penilaian risiko terkait keamanan informasi, termasuk pemastian bahwa penilaian yang dilakukan menghasilkan hasil yang konsisten, valid dan sebanding jika dilakukan penilaian ulang
- penentuan pengendalian (control) berdasarkan penilaian dan penanganan risiko keamanan informasi
- mengevaluasi kinerja keamanan informasi dan efektivitas SMKI yang dibandingkan dengan tujuan keamanan informasi
- kesesuaian antara pengendalian (control) yang ditentukan, Statement of Aplicability, hasil penilaian dan penanganan risiko keamanan informasi serta kebijakan dan tujuan keamanan informasi
- penerapan pengendalian (control), dengan mempertimbangkan isu eksternal dan internal, serta risiko terkait, pemantauan, pengukuran dan analisis organisasi terhadap proses dan penegendalian (control) keamanan informasi. untuk menentukan apakah pengendalian (control) diterapkan dan efektif dan memenuhi tujuan keamanan informasi yang ditetapkan.
- Program, proses, prosedur, rekaman, audit internal dan tinjauan efektivitas SMKI telah diterapkan untuk memastikan bahwa ini sesuai dengan keputusan manajemen puncak, kebijakan dan tujuan keamanan informasi
