Аудит информационной безопасности – комплекс мероприятий, направленный на оценку текущего состояния защищенности информационных активов организации.
Целью аудита является определение соответствия применяемых в организации методов и средств защиты информации требованиям, предъявляемым к обеспечению информационной безопасности.
Аудит позволяет руководству организации получить независимую экспертную оценку о текущем состоянии информационной безопасности, а также спланировать дополнительные мероприятия
по повышению уровня защищенности.
Мероприятия аудита включают:
В зависимости от потребности, аудит может быть как комплексным, направленным на оценку состояния информационной безопасности организации в целом и содержать весь перечень мероприятий,
так и проводиться для отдельных, наиболее значимых для организации направлений, бизнес-процессов или информационных систем.
Результат аудита – документ, содержащий отчет о проведенных мероприятиях, общую экспертную оценку состояния защищенности информационных активов для руководства, перечень выявленных уязвимостей, степень их критичности в случае реализации потенциальным нарушителем и рекомендации
по устранению.