Аудит безопасности ИС компании представляет собой независимую экспертизу отдельных областей функционирования компании. В зависимости от прав, которыми компания наделяет аудитора в момент проведения такого аудита, аудит разделяется на два типа:
Аудитор должен осуществлять независимую экспертизу реализации механизмов безопасности информации в компании, что является одним из основных принципов аудиторской деятельности. При этом если аудитор принимает деятельное участие в реализации таких механизмов, то независимость аудитора утрачивается, а вместе с ней утрачивается и объективность его суждений, т. к. аудитор не может осуществлять независимый и объективных контроль своей собственной деятельности. Следует также отметить, что аудит безопасности информации в компании проводится не по инициативе аудитора, а по инициативе руководства компании, которое в данном вопросе является основной заинтересованной стороной. В этом случае поддержка руководства компании является необходимым условием для проведения такого аудита. Работы по аудиту безопасности ИС включают в себя ряд последовательных этапов, которые в целом соответствуют этапам проведения комплексного аудита АС, который включает в себя следующее:
При этом основным результатом аудита является аудиторский отчет, который содержит описание текущего состояния информационной безопасности ИС компании, описание обнаруженных уязвимостей и рекомендации по их устранению.
