信息安全审计, 揭示
信息安全风险的最佳手段, 改进信息安全现状的有效途径,满足信息安全
合规要求的有力武器。
根据预先确定的审计依据(
信息安全法规、标准及用户自己的规章制度等),在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得
审计证据,并对其进行客观的评价,以确定被
审计对象满足审计依据的程度。
信息安全审计可以使组织掌握其信息安全是否满足安全
合规性要求的同时,也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性,包括以下方面:
信息安全审计适用于各种类型、各种规模的组织,特别是对IT依赖度高的组织,如金融、电力、航空航天、军工、物流、电子商务、政府部门等。各个行业和部门可以单独实施信息安全审计,也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施。如
IT审计、信息安全等级保护建设、信息安全风险评估、
信息安全管理体系建设等。