Audit kybernetické bezpečnosti je systematické a nezávislé přezkoumání ISMS. Audit kybernetické bezpečnosti musí být prováděn osobou vyhovující podmínkám stanoveným v § 5 odst. 4 vyhlášky, která nezávisle hodnotí správnost a účinnost zavedených bezpečnostních opatření. 

Jeho provedení je požadováno:

• při významných změnách, v rámci jejich rozsahu (minimálně v oblasti dotčené změnou),
• v pravidelných intervalech alespoň jednou za 2 roky,
• v souladu s plánem auditu kybernetické bezpečnosti, který si stanoví povinná osoba.

V případech, kdy audit kybernetické bezpečnosti nelze provést v plném rozsahu ve stanovené lhůtě (zejm. z důvodu časové náročnosti), je možné audit rozdělit systematicky na dílčí části. Takovýto postup je nutné zdůvodnit a postupovat tak, aby vždy po ukončení všech částí auditu byl výsledkem audit kybernetické bezpečnosti v celém rozsahu požadavků prováděcího právního předpisu, nejpozději v 5 letém intervalu. Požadavkem na audit kybernetické bezpečnosti je provádění pravidelné kontroly dodržování:

• bezpečnostních opatření požadovaných zákonem a vyhláškou,
• právních předpisů, vnitřních předpisů,
• smluvních závazků a nejlepší praxe,
• pravidel a postupů stanovených v bezpečnostní politice, včetně přezkoumávání technické shody a dříve stanovených nápravných opatření.

V případě, že audit nalezne nesoulad s výše uvedenými požadavky, musí být na tyto nedostatky reagováno stanovením a přijetím takových nápravných opatření, která zajistí jejich odstranění. Podle výsledku auditu stanoví organizace případná nápravná opatření, která budou přijata bez zbytečného odkladu. Výsledky auditu musí být zahrnuty do plánu rozvoje bezpečnostního povědomí a řízení rizik. Pravidelné posouzení stavu (audit či kontrola) celého ISMS je nezbytnou součástí kontinuálního zlepšování.