Güvenlik denetimi, bir bilgi teknolojisi sistemindeki güvenliğin yeterliliğinin bir analizidir. Genel güvenlik denetimleri arasında, şirketin toplam BT sistemleri için bir BT denetimi veya kısmi bir BT sistemi veya süreci için bir bilgisayar güvenliği denetimi bulunur. Bu tür iç denetim süreçleri, bir işletmedeki her tür IT sistemi için güvenliğin yeterli olmasını sağlamak için yapılır.
Güvenlik denetimi yapanlar şifrelemeye veya çevrimiçi veya bilgisayarlı güvenliğin diğer unsurlarına bakabilirler. İnsan faktörünün güvenlik açısından zayıf bir bağlantı olup olmadığını belirlemek için bilgisayar kullanıcılarının röportajlarını yapabilirler. Bir güvenlik denetçisi, bir BT sisteminin ne kadar güvenli olabileceğini değerlendirmek için bir sızma testine veya başka bir güvenlik değerlendirmesine katılabilir.
Bazı güvenlik denetimleri, iş liderliği tarafından bir işin özünü korumanın bir parçası olarak sipariş edilir. Kurumsal veriler halka açık bir risk unsuru içerdiğinde federal, eyalet ya da yerel yasalara uygunluğu sağlamak için diğer güvenlik denetimleri yapılır. Bu durumlarda, devlet kurumları bir işletmenin kamu verilerini koruduğunu göstermek için periyodik güvenlik denetimleri talep edebilir.
Sağlık Sigortası Taşınabilirliği ve Hesap Verebilirlik Yasası veya HIPAA olarak bilinen mevzuat, tıbbi işletmeler için güvenlik denetimlerinin ana itici gücüdür. HIPAA kuralları katı hasta veri güvenliği sağlar ve her sağlıkla ilgili tesis veya işletme, HIPAA düzenlemelerine uymak zorundadır. Güvenlik denetimi görevleri, HIPAA'nın şirket veya ağda takip edilmesini sağlamaya özel dikkat içerebilir.
Mali veya diğer işletmeler, Sarbanes-Oxley yasası tarafından getirilen düzenlemelere göre bir güvenlik denetimi yapabilir. Sarbanes-Oxley, bozuk muhasebe uygulamalarına karşı bir koruma olarak tasarlanmış olmasına rağmen, mevzuatı genel denetim sürecinin bir parçası olarak güvenlik denetimleri gibi unsurları içerebilir. Diğer durumlarda, tüketiciyi koruma mevzuatı bir işletmenin güvenlik denetimi yapmasını gerektirebilir.
Bir işletme genellikle bir güvenlik denetiminin ne zaman ve nasıl yapılması gerektiğini zorunlu kılan bir güvenlik politikasına sahip olabilir. Güvenlik denetimi aynı zamanda bir departman veya işletme sistemindeki “kontroller ve dengeler” e bakmayı da içerebilir. Tüm bu çabalar genel olarak veriyi koruma ve her tür işletme için yetkin güvenlik sağlama hedefine doğru ilerlemektedir. Profesyonel denetçiler, bir güvenlik sisteminin güvenilir ve dış saldırılara karşı makul bir şekilde korunup korunmadığını gösteren kesin ölçütler konusunda eğitilmiştir.
