Аудит безопасности - это анализ адекватности безопасности в системе информационных технологий. Типы общих аудитов безопасности включают в себя ИТ-аудит всей ИТ-системы компании или аудит компьютерной безопасности частичной ИТ-системы или процесса. Эти типы процессов внутреннего аудита выполняются, чтобы гарантировать, что безопасность достаточна для любого типа ИТ-системы в рамках бизнеса.

Те, кто проводит аудит безопасности, могут посмотреть на шифрование или другие элементы сетевой или компьютеризированной безопасности. Они могут проводить опросы пользователей компьютеров, чтобы определить, является ли человеческий фактор слабым звеном с точки зрения безопасности. Аудитор безопасности может пройти тест на проникновение или другой тип оценки безопасности, чтобы определить, насколько безопасна ИТ-система.

Некоторые виды аудита безопасности заказываются бизнес-руководством как часть защиты прибыли для бизнеса. Другие проверки безопасности проводятся с целью обеспечения соответствия федеральным, государственным или местным законам, когда корпоративные данные включают элемент общественного риска. В этих случаях правительственные учреждения могут требовать периодических проверок безопасности, чтобы показать, что бизнес защищает публичные данные.

Законодательство, известное как Закон о мобильности и подотчетности медицинского страхования или HIPAA, является основной движущей силой аудита безопасности для медицинских предприятий. Правила HIPAA предусматривают строгую защиту данных пациентов, и каждое медицинское учреждение или предприятие должно соблюдать правила HIPAA. Задачи аудита безопасности могут включать особое внимание к обеспечению соблюдения HIPAA внутри компании или сети.

Финансовые или другие компании могут проводить аудит безопасности в соответствии с правилами, установленными законом Сарбейнса-Оксли. Хотя Sarbanes-Oxley был спроектирован как защита от коррупционной практики бухгалтерского учета, его законодательство может включать такие элементы, как аудит безопасности, как часть общего процесса аудита. В других случаях законодательство о защите потребителей может потребовать от бизнеса проведения аудита безопасности.

У бизнеса часто может быть политика безопасности, которая предписывает, когда и как должен проводиться аудит безопасности. Аудит безопасности может также включать анализ «сдержек и противовесов» в рамках отдела или бизнес-системы. Все эти усилия направлены на достижение общей цели защиты данных и обеспечения компетентной безопасности для любого типа предприятия. Профессиональные аудиторы обучены точным показателям, которые показывают, надежна ли система безопасности и в достаточной ли степени защищена от внешних атак.