Sobre a auditoria interna do Sistema de Gestão da Segurança da Informação (SGSI), conforme a NBR ISO/IEC 27001:2022, considere as seguintes afirmações a seguir:

I. A organização deve estabelecer um programa de auditoria interna que defina frequência, métodos, responsabilidades e critérios.

II. O programa de auditoria deve considerar a criticidade dos processos auditados e resultados de auditorias anteriores.

III. As auditorias internas devem ser realizadas apenas por auditores externos para garantir imparcialidade.

É correto o que se afirma em: