In Ergänzung zu den Zertifizierungsaudits kann es zu jährlich Überwachungsaudits (z.B. bei ISO Zert Audit kommen im zweiten Jahr das ÜA1 und im dritten Jahr das ÜA2 hinzu). Der Auditzyklus ist somit auf 3 Jahre festgelegt.
In den Überwachungsaudits gibt es ferne die Möglichkeit Schwerpunkte zu setzen, um z.B. Änderungen, Erweiterungen etc. eines ISMS zu berücksichtigen.
Das Vorgehen ist identisch zu dem eines Zertifizierungsaudits, wenn gleich auch der Aufwand geringer ist. In dem Jahr, in dem das Zertifizierungsaudit durchgeführt wird, ist keine weitere Überwachungsmaßnahme erforderlich. Für die Aufrechterhaltung des Zertifikats gelten die Regeln für die Erstzertifizierung.