Vad är en säkerhetsrevision?
En säkerhetsrevision är en analys av säkerhetens tillräcklighet i ett informationsteknologisystem. Typer av allmänna säkerhetsrevisioner inkluderar en IT-revision för företagets totala IT-system, eller en datasäkerhetsrevision för en delvis IT-system eller -process. Dessa typer av internrevisionsprocesser görs för att säkerställa att säkerheten är tillräcklig för alla typer av IT-system inom ett företag.
De som utför en säkerhetsrevision kan titta på kryptering eller andra delar av online eller datoriserad säkerhet. De kan göra intervjuer av datoranvändare för att avgöra om den mänskliga faktorn är en svag länk när det gäller säkerhet. En säkerhetsrevisor kan genomföra ett penetrationstest eller annan typ av säkerhetsbedömning för att bedöma hur säkert ett IT-system kan vara.
Vissa typer av säkerhetsrevisioner beställs av företagsledningen som en del av att skydda den slutgiltiga linjen för ett företag. Andra säkerhetsrevisioner görs för att säkerställa överensstämmelse med federala, statliga eller lokala lagar när företagsdata innehåller ett offentligt riskelement. I dessa fall kan myndigheter kräva periodiska säkerhetsrevisioner för att visa att ett företag skyddar offentliga uppgifter.
Den lagstiftning som kallas Health Insurance Portability and Accountability Act eller HIPAA är en viktig drivkraft för säkerhetsrevisioner för medicinska företag. HIPAA-reglerna föreskriver strikt säkerhet för patientuppgifter, och varje medicinsk anläggning eller verksamhet måste följa HIPAA-bestämmelserna. Säkerhetsrevisionsuppgifter kan innehålla särskild uppmärksamhet för att se till att HIPAA följs inom företaget eller nätverket.
Finansiella eller andra företag kan utföra en säkerhetsrevision enligt de regler som införs i lagen Sarbanes-Oxley. Även om Sarbanes-Oxley utformades som ett skydd mot korrupt redovisningssed, kan dess lagstiftning innehålla delar som säkerhetsrevisioner som en del av en övergripande revisionsprocess. I andra fall kan konsumentskyddslagstiftningen kräva att ett företag gör en säkerhetsrevision.
Ett företag kan ofta ha en säkerhetspolicy som kräver när och hur en säkerhetsrevision ska göras. Säkerhetsrevisionen kan också innebära att man tittar på "kontroller och balanser" inom en avdelning eller affärssystem. All denna ansträngning går mot det övergripande målet att skydda data och ge kompetent säkerhet för alla typer av företag. Professionella revisorer utbildas i exakta mätvärden som visar om ett säkerhetssystem är tillförlitligt och rimligt skyddat mot attacker utanför.