根据预先确定的审计依据(信息安全法规、标准及用户自己的规章制度等),在规定的审计范围内,通过文件审核、记录检查、技术测试、现场访谈等活动,获得审计证据,并对其进行客观的评价,以确定被审计对象满足审计依据的程度。
信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时,也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性,包括以下方面:
信息安全组织机构
信息安全需求管理
信息安全制度建设
信息科技风险管理
信息安全意识教育和培训
信息资产管理
信息安全事件管理
应急和业务连续性管理
IT外包安全管理
业务秘密保护
存储介质管理
人员安全管理
物理安全
系统安全
网络安全
数据库安全
源代码安全
应用安全