Cụ thể, kiểm toán bảo mật là một đánh giá có hệ thống về tính bảo mật trong hệ thống thông tin của một tổ chức bằng cách đánh giá mức độ tuân thủ của tổ chức đó với một bộ tiêu chí đã được thiết lập. Một cuộc kiểm toán về bảo mật thường tập trung đánh giá tính bảo mật về cấu hình, môi trường, phần mềm, quy trình xử lý thông tin và thông lệ người dùng của hệ thống. Kiểm toán bảo mật là một trong ba loại hình chuẩn đoán bảo mật, có vai trò quan trọng, cụ thể: Xác định các vấn để và lỗ hổng về bảo mật, cũng như các điểm yếu của hệ thống; Thiết lập một đường cơ sở bảo mật mà các các cuộc kiểm toán trong tương lai có thể áp dụng; Giúp tuân thủ các chính sách bảo mật bội bộ của tổ chức; Giúp tuẩn thủ các yêu cầu quy định độc lập; Xác định chất lượng đào tạo bảo mật.
Cụ thể, kiểm toán bảo mật là một đánh giá có hệ thống về tính bảo mật trong hệ thống thông tin của một tổ chức bằng cách đánh giá mức độ tuân thủ của tổ chức đó với một bộ tiêu chí đã được thiết lập. Một cuộc kiểm toán về bảo mật thường tập trung đánh giá tính bảo mật về cấu hình, môi trường, phần mềm, quy trình xử lý thông tin và thông lệ người dùng của hệ thống. Kiểm toán bảo mật là một trong ba loại hình chuẩn đoán bảo mật, có vai trò quan trọng, cụ thể: Xác định các vấn để và lỗ hổng về bảo mật, cũng như các điểm yếu của hệ thống; Thiết lập một đường cơ sở bảo mật mà các các cuộc kiểm toán trong tương lai có thể áp dụng; Giúp tuân thủ các chính sách bảo mật bội bộ của tổ chức; Giúp tuẩn thủ các yêu cầu quy định độc lập; Xác định chất lượng đào tạo bảo mật.
Một cuộc kiểm toán bảo mật thường bao gồm các lĩnh vực: Rủi ro mạng lưới - tìm kiếm các điểm yếu trong bất kỳ thành phần nào của mạng lưới mà có thể bị khai thác gây ra thiệt hại; Kiểm soát an ninh - xem xét mức độ hiệu quả của các biện pháp kiểm soát an ninh; Mã hoá - xác minh một tổ chức có các biện pháp kiểm soát để quản lý các quy trình mã hoá dữ liệu; Hệ thống phần mềm - đảm bảo hệ thống hoạt động bình thường và cung cấp thông tin chính xác; Năng lực quản lý - xác minh ban quản lý công nghệ thông tin có cơ cấu tổ chức và các thủ tục kiểm soát nhằm tạo ra môi trường hiệu quả và được kiểm soát để xử lý thông tin; Kiểm soát viễn thông - kiểm tra các biện pháp kiểm soát viễn thông đang hoạt động ở cả phía máy khách và máy chủ, cũng như mạng kết nối; Xử lý thông tin - xác nhận các biện pháp bảo mật xử lý thông tin đang được áp dụng.
Các bước cần khi thực hiện một cuộc kiểm toán bảo mật gồm: Thống nhất mục tiêu - đảm bảo tất các bên liên quan đều tham gia thảo luận và thống nhất; Xác định phạm vi kiểm toán; Thực hiện kiểm toán và xác định mối đe doạ - xác định các mối đe doạ tiềm tàng như mất dữ liệu, thiết bị hoặc hồ sơ do thiên tai, phần mềm độc hại hoặc người dùng trái phép.
(Theo Bản tin quốc tế KTNN số 103)