资讯安全审计

资讯安全审核（英语：Information security audit）是对组织的资讯安全水平进行审计的过程，其工作主要是对系统活动纪录和相关系统文件的独立审查。资讯安全审核的目的在于提高系统资讯安全水平，避免存在风险的系统设计，并优化安全措施和安全流程的效率。^[1]在广泛的资讯安全审计范围内，存在多种类型的审计和不同审计目标等。通常，审计的控制措施可以分为技术、物理和规范三大层面。资讯安全审计涵盖的内容包括对数据中心的物理安全进行审计，对数据库的系统逻辑安全进行审计等，并注重这些领域需要关注的关键要素和不同的审计方法。

在资讯科技（IT）领域，资讯安全审计通常会视为是资讯科技审核的一部分，会称为资讯科技安全审计或电脑安全审计。然而，资讯安全涵盖的范围远不止于IT领域，它涉及到一个组织的各个方面，包括技术、人员和工作流程。

资讯安全审计的范围十分广泛，其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点，在以下领域均可进行开展：

• 资讯安全管理组织与制度；
• 访问控制管理；
• 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及装置物理安全、应用系统安全、资讯系统日志管理、加密传输和加密装置管理、补丁管理、IT 项目开发管理；
• 隐私数据安全、数据库和操作系统安全、资讯资产分级和管理、数据资产全生命周期管理评估、资讯安全事件管理、业务连续性；
• 人力安全、IT 外包安全管理、资讯安全意识教育。^[2]

1. ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. （原始内容存档于2023-04-17）. 
2. ^ 信息安全审计都有哪些内容. 网安. [2023-06-20]. （原始内容存档于2023-06-20） （中文）.