Аудит інформаційної безпеки – це системний процес одержання об’єктивних якісних і кількісних оцінок поточного стану безпеки інформаційної системи, комплексна оцінка рівня інформаційної безпеки Замовника з урахуванням трьох основних факторів: персоналу, процесів і технологій. Порівняльний аналіз поточного стану інформаційної системи, що визначається за підсумками анкетування, з тестовою моделлю вимог стандарту ISO 27001.

Комплексний аудит інформаційної безпеки дає можливість отримати цілісну та об’єктивну картину всієї інформаційної системи підприємства та її окремих життєвих циклів (бізнес-процесів), локалізувати властиві проблеми з метою створення ефективної і оптимальної програми розвитку системи забезпечення інформаційної безпеки.

Необхідність проведення регулярного аудиту інформаційної безпеки полягає в оцінці реального стану захищеності ресурсів ІТС та її змозі протистояти зовнішнім і внутрішнім загрозам інформаційної безпеки, які постійно змінюються та адаптуються. 

Цілями проведення аудиту інформаційної безпеки (ІБ) є:

– аналіз функцій, технологій обробки і передачі інформації;

– виявлення існуючих і потенційних загроз ІБ;

– ранжирування існуючих вразливостей технологічного та організаційного характеру підприємства;

– аналіз та оцінки ризиків, пов’язаних із загрозами щодо безпеки інформаційних ресурсів;

– оцінка існуючої системи управління інформаційною безпекою та розробка рекомендацій щодо її вдосконалення;

– аудит інформаційної безпеки на відповідність міжнародному стандарту ISO/IEC 27001;

– розробка пропозицій і рекомендацій щодо підвищення ефективності та впровадження ефективних механізмів для забезпечення інформаційної безпеки;

– розробка політики інформаційної безпеки підприємства.