Аудит компьютерной безопасности - это техническая оценка того, насколько хорошо достигаются цели информационной безопасности компании или организации. В большинстве случаев компании нанимают специалистов по информационным технологиям (ИТ) для проведения проверок, как правило, на произвольной или необъявленной основе. Одной из основных целей аудита является предоставление руководителям представления об общем состоянии их сетевой безопасности. Отчеты часто являются всеобъемлющими, документируя соответствие наряду с любыми выявленными рисками. В зависимости от типа сети и сложности рассматриваемых систем, аудит компьютерной безопасности может иногда проводиться в меньших масштабах с помощью специальной программы.

Сети, подключения к интрасети и доступ к Интернету сделали корпоративные отношения невероятно эффективными, но эта эффективность приносит определенную степень уязвимости. Общие риски включают взлом, кражу информации и компьютерные вирусы. Компании обычно внедряют ряд программ для обеспечения сетевой безопасности, чтобы снизить эти риски. Они также обычно создают правила передового опыта, регулирующие использование сети. Аудит компьютерной безопасности - это способ для руководителей компаний взглянуть на то, как эти меры работают ежедневно.

Аудит обычно может быть настолько узким или всеобъемлющим, насколько пожелают администраторы. Обычно компании проводят аудит отдельных отделов, а также фокусируются на конкретных угрозах, таких как надежность пароля, тенденции доступа к данным сотрудников или общая целостность корпоративной домашней страницы. Более всеобъемлющий аудит компьютерной безопасности оценивает все параметры, положения и действия корпорации в области информационной безопасности одновременно.

В большинстве случаев аудит не заканчивается списком рисков. Понимание потенциальных уязвимостей очень важно, но само по себе оно не обеспечивает безопасность сети. Отчеты об аудите компьютерной безопасности также должны детализировать обычное использование - в частности, то, как это использование соответствует целям безопасности компании - и затем вносить предложения по улучшению.

Анализ доступа к конфиденциальным данным обычно является основной частью аудита компьютерной безопасности. Знание того, какие сотрудники обращались к данным, как часто и почему, может дать корпоративным лидерам некоторое представление о том, насколько частной является определенная информация. Аудиторы также могут просматривать параметры безопасности для корпоративных активов, таких как веб-сайт мэйнфрейма и отдельные учетные записи электронной почты, и обычно могут подсчитать, сколько раз каждый входил в систему в течение периода аудита. Цель здесь не столько в том, чтобы отслеживать отдельных сотрудников, сколько в том, чтобы получить представление о средних моделях трафика и понять общие модели использования.

Более всего, главная цель аудита - предоставить всеобъемлющую картину ландшафта компьютерной безопасности. Большинство компаний планируют проведение проверок на регулярной основе, часто через свои ИТ-отделы или с внешними подрядчиками. Именно благодаря этим учениям они учатся быть активными в ответ на возникающие угрозы. Многие обновляют свои антивирусные программы и программное обеспечение для защиты компьютера, меняют свои политики паролей и усиливают свои брандмауэры в ответ на выводы и рекомендации аудиторского отчета.