Hva er en sikkerhetsrevisjon?
En sikkerhetsrevisjon er en analyse av tilstrekkeligheten til sikkerheten i et informasjonsteknologisystem. Typer generelle sikkerhetsrevisjoner inkluderer en IT-revisjon for selskapets totale IT-systemer, eller en datasikkerhetsrevisjon for en delvis IT-system eller -prosess. Disse typer interne revisjonsprosesser gjøres for å sikre at sikkerhet er tilstrekkelig for alle typer IT-systemer i en virksomhet.
De som utfører en sikkerhetsrevisjon kan se på kryptering eller andre elementer av online eller datastyrt sikkerhet. De kan gjøre intervjuer av databrukere for å avgjøre om den menneskelige faktoren er en svak kobling når det gjelder sikkerhet. En sikkerhetsrevisor kan gjennomføre en penetrasjonstest, eller annen type sikkerhetsvurdering, for å bedømme hvor sikkert et IT-system kan være.
Noen typer sikkerhetsrevisjoner bestilles av virksomhetsledelsen som et ledd i å beskytte bunnlinjen for en virksomhet. Andre sikkerhetsrevisjoner gjøres for å sørge for overholdelse av føderale, statlige eller lokale lover når bedriftsdata inkluderer et offentlig risikoelement. I disse tilfellene kan offentlige etater kreve periodiske sikkerhetsrevisjoner for å vise at en virksomhet ivaretar offentlig data.
Lovgivningen kjent som Health Insurance Portability and Accountability Act eller HIPAA er en hoveddriver for sikkerhetsrevisjoner for medisinske virksomheter. HIPAA-regler gir streng pasientsikkerhetssikkerhet, og ethvert medisinsk relatert anlegg eller virksomhet må overholde HIPAA-forskriften. Sikkerhetsrevisjonsoppgaver kan omfatte spesiell oppmerksomhet til å sikre at HIPAA blir fulgt i selskapet eller nettverket.
Finansielle eller andre virksomheter kan utføre en sikkerhetsrevisjon i henhold til forskriftene som er innført i Sarbanes-Oxley-loven. Selv om Sarbanes-Oxley ble designet som en beskyttelse mot korrupt regnskapsskikk, kan lovgivningen inneholde elementer som sikkerhetsrevisjoner som del av en overordnet revisjonsprosess. I andre tilfeller kan forbrukerbeskyttelseslovgivningen kreve at en virksomhet foretar en sikkerhetsrevisjon.
En virksomhet kan ofte ha en sikkerhetspolicy som krever når og hvordan en sikkerhetsrevisjon skal gjøres. Sikkerhetsrevisjonen kan også innebære å se på "sjekker og avveininger" i en avdeling eller forretningssystem. All denne innsatsen går mot det overordnede målet om å sikre data, og gi kompetent sikkerhet for alle slags virksomheter. Profesjonelle revisorer er opplært i de nøyaktige beregningene som viser om et sikkerhetssystem er pålitelig og rimelig beskyttet mot angrep utenfor.