SóProvas

Convém que análise crítica seja executada por pessoas independentes da área avaliada, como por exemplo, uma função de auditoria interna, um gerente independente ou uma organização de externa especializada em tais análises críticas. Convém que as pessoas que realizem estas análises críticas possuam habilidade e experiência apropriadas. 

ISO 27002 pag 108

Segundo a ISO 27001:2013,"9.2 Auditoria interna
A organização deve conduzir auditorias internas a intervalos planejados para prover informações sobre o quanto o sistema de gestão da segurança da informação:

(...)

Organização deve:
a) planejar, estabelecer, implementar e manter um programa de auditoria, incluindo a frequência, métodos, responsabilidades, requisitos de planejamento e relatórios. Os programas de auditoria devem levar em conta a importância dos processos pertinentes e os resultados de auditorias anteriores;"

Em um sistema de gestão de segurança da informação (SGSI), a diretoria da organização é o setor responsável pela GARANTIA DA realização de auditorias internas