Przeprowadzanie audytu wewnętrznego ma wymiar obligatoryjny dla wszystkich podmiotów publicznych. Wedle rozporządzeń Rady Ministrów muszą one przynajmniej raz w roku przeprowadzić wewnętrzną kontrolę swoich zasobów teleinformatycznych (elektronicznych systemów operowania oraz przesyłania informacji) w celu ocenienia ich adekwatności, co do stale zmieniających się warunków technologiczno – społeczno – politycznych.

Wymogi przepisowe:

Według postanowień obowiązujących przepisów audyt bezpieczeństwa informacji należy do integralnych zadań placówek publicznych. W związku z tym mają one odgórny, obligatoryjny obowiązek do opracowywania, rozwoju, monitorowania, utrzymywania oraz poszukiwania możliwości ciągłego doskonalenia wszelkich systemów użytkowanych w procesie obrotu informacją. Periodyczny audyt jest niezbędny dla prawidłowego oszacowania aktualnych możliwości oraz przyszłościowych wyzwań. Jest to kluczowe, ponieważ każda placówka publiczna w obiegu informacją musi być w stanie zagwarantować poufność, dostępność oraz integralność. Ten ostatni czynniki jest szczególnie ważny, gdyż łączy się on z szeregiem dodatkowych atrybutów jak: - autentyczność – przekazywane informacje muszą znajdywać odbicie w rzeczywistości. - rozliczalność – określone działania lub procesy mogą być dokładnie przypisane do danej osoby fizycznej. - niezaprzeczalność – jeśli dana osoba figuruje w systemie, to nie może to być wynik błędu. Chodzi tutaj o niedopuszczenie do sytuacji, gdy dane są dublowane mimo faktu, że dana osoba fizyczna lub podmiot nie brała udziału w całości danego procesu lub jego części, - niezawodność – czyli konsekwencja, spójność w działaniu i sprawne dochodzenie do zamierzonych skutków.

Audyt wewnętrzny poza usprawnieniem działań danej placówki publicznej od strony formalnej ma również za zadanie zwiększenie jej wiarygodności w oczach petentów poprzez nadanie jej większej klarowności oraz rzeczywistej, mierzalnej przejrzystości.