Saugos auditas – tai informacinių technologijų sistemos saugumo adekvatumo analizė. Bendrojo saugumo audito tipai apima visos įmonės IT sistemų IT auditą arba dalinės IT sistemos ar proceso kompiuterio saugos auditą. Šio tipo vidaus audito procesai atliekami siekiant užtikrinti, kad bet kokio tipo IT sistemos saugumas būtų pakankamas versle.
Saugumo auditą atliekantys asmenys gali pažvelgti į šifravimą ar kitus internetinės ar kompiuterinės saugos elementus. Jie gali apklausti kompiuterių vartotojus, kad nustatytų, ar žmogiškasis faktorius yra silpnoji saugumo grandis. Apsaugos auditorius gali atlikti įsiskverbimo testą arba kitokio tipo saugos vertinimą, kad nuspręstų, kiek saugi gali būti IT sistema.
Kai kurių tipų saugos auditus užsako verslo vadovybė, siekdama apsaugoti verslo pagrindą. Kiti saugumo auditai atliekami siekiant užtikrinti, kad būtų laikomasi federalinių, valstijų ar vietinių įstatymų, kai įmonės duomenys apima viešą rizikos elementą. Tokiais atvejais vyriausybinės agentūros gali reikalauti periodinių saugos auditų, kad parodytų, jog įmonė saugo viešuosius duomenis.
Teisės aktai, žinomi kaip Sveikatos draudimo perkeliamumo ir atskaitomybės įstatymas arba HIPAA, yra pagrindinis medicinos įmonių saugumo audito veiksnys. HIPAA taisyklės numato griežtą pacientų duomenų saugumą, o kiekviena su medicina susijusi įstaiga ar įmonė turi laikytis HIPAA taisyklių. Saugumo audito užduotys gali apimti ypatingą dėmesį tam, kad įmonėje ar tinkle būtų laikomasi HIPAA.
Finansinės ar kitos įmonės gali atlikti saugumo auditą pagal Sarbanes-Oxley įstatymo nustatytas taisykles. Nors Sarbanes-Oxley buvo sukurta kaip apsauga nuo korupcinės apskaitos praktikos, jos teisės aktai gali apimti tokius elementus kaip saugumo auditas kaip bendro audito proceso dalis. Kitais atvejais vartotojų apsaugos teisės aktai gali reikalauti, kad įmonė atliktų saugumo auditą.
Įmonė dažnai gali turėti saugumo politiką, kuri įpareigoja kada ir kaip turėtų būti atliktas saugos auditas. Saugumo auditas taip pat gali apimti „patikrinimų ir balansų“ peržiūrą skyriuje ar verslo sistemoje. Visos šios pastangos yra skirtos bendram tikslui apsaugoti duomenis ir užtikrinti kompetentingą bet kokios rūšies įmonės saugumą. Profesionalūs auditoriai yra apmokyti tiksliai nustatyti, ar apsaugos sistema yra patikima ir pagrįstai apsaugota nuo išorės atakų.