Audyt bezpieczeństwa to analiza adekwatności zabezpieczeń w systemie informatycznym. Typy ogólnych audytów bezpieczeństwa obejmują audyt informatyczny całości systemów informatycznych firmy lub audyt bezpieczeństwa komputerowego części systemu lub procesu informatycznego. Tego typu procesy audytu wewnętrznego są wykonywane w celu zapewnienia, że bezpieczeństwo jest wystarczające dla każdego rodzaju systemu informatycznego w firmie.
Osoby przeprowadzające audyt bezpieczeństwa mogą przyjrzeć się szyfrowaniu lub innym elementom bezpieczeństwa online lub komputerowego. Mogą przeprowadzać wywiady z użytkownikami komputerów, aby ustalić, czy czynnik ludzki jest słabym ogniwem pod względem bezpieczeństwa. Audytor bezpieczeństwa może przeprowadzić test penetracyjny lub inny rodzaj oceny bezpieczeństwa, aby ocenić, jak bezpieczny może być system informatyczny.
Niektóre rodzaje audytów bezpieczeństwa są zlecane przez kierownictwo biznesowe w ramach ochrony wyniku finansowego firmy. Inne audyty bezpieczeństwa są przeprowadzane w celu zapewnienia zgodności z prawem federalnym, stanowym lub lokalnym, gdy dane korporacyjne zawierają element ryzyka publicznego. W takich przypadkach agencje rządowe mogą wymagać okresowych audytów bezpieczeństwa, aby wykazać, że firma chroni dane publiczne.
Ustawodawstwo znane jako Ustawa o przenośności i odpowiedzialności w ubezpieczeniach zdrowotnych lub HIPAA jest głównym motorem audytów bezpieczeństwa w firmach medycznych. Przepisy HIPAA zapewniają rygorystyczne bezpieczeństwo danych pacjentów, a każda placówka lub firma związana z medycyną musi przestrzegać przepisów HIPAA. Zadania audytu bezpieczeństwa mogą obejmować szczególną uwagę, aby upewnić się, że HIPAA jest przestrzegane w firmie lub sieci.
Firmy finansowe lub inne mogą przeprowadzać audyt bezpieczeństwa zgodnie z przepisami nałożonymi przez ustawę Sarbanes-Oxley. Chociaż Sarbanes-Oxley został zaprojektowany jako ochrona przed korupcyjnymi praktykami księgowymi, jego ustawodawstwo może zawierać elementy, takie jak audyty bezpieczeństwa, jako część ogólnego procesu audytu. W innych przypadkach przepisy dotyczące ochrony konsumentów mogą wymagać od firmy przeprowadzenia audytu bezpieczeństwa.
Firma często może mieć politykę bezpieczeństwa, która nakazuje, kiedy i jak należy przeprowadzić audyt bezpieczeństwa. Audyt bezpieczeństwa może również obejmować sprawdzenie „kontroli i równowagi” w ramach działu lub systemu biznesowego. Wszystkie te wysiłki zmierzają w kierunku ogólnego celu, jakim jest ochrona danych i zapewnienie właściwego bezpieczeństwa dla każdego rodzaju przedsiębiorstwa. Profesjonalni audytorzy są przeszkoleni w zakresie precyzyjnych wskaźników, które pokazują, czy system bezpieczeństwa jest niezawodny i odpowiednio chroniony przed atakami z zewnątrz.