Audit keamanan adalah analisis kecukupan keamanan dalam sistem teknologi informasi. Jenis audit keamanan umum termasuk audit TI untuk sistem TI total perusahaan, atau audit keamanan komputer untuk sistem atau proses TI parsial. Jenis proses audit internal ini dilakukan untuk memastikan bahwa keamanan cukup untuk semua jenis sistem TI dalam bisnis.
Mereka yang melakukan audit keamanan mungkin melihat enkripsi atau elemen lain dari keamanan online atau terkomputerisasi. Mereka mungkin melakukan wawancara dengan pengguna komputer untuk menentukan apakah faktor manusia merupakan mata rantai yang lemah dalam hal keamanan. Auditor keamanan dapat mengikuti tes penetrasi, atau jenis penilaian keamanan lainnya, untuk menilai seberapa aman sistem TI.
Beberapa jenis audit keamanan diperintahkan oleh pimpinan bisnis sebagai bagian dari melindungi keuntungan bisnis. Audit keamanan lainnya dilakukan untuk memberikan kepatuhan terhadap undang-undang federal, negara bagian, atau lokal ketika data perusahaan menyertakan elemen risiko publik. Dalam kasus ini, lembaga pemerintah mungkin memerlukan audit keamanan berkala untuk menunjukkan bahwa bisnis menjaga data publik.
Undang-undang yang dikenal sebagai Undang-Undang Portabilitas dan Akuntabilitas Asuransi Kesehatan atau HIPAA adalah pendorong utama audit keamanan untuk bisnis medis. Aturan HIPAA memberikan keamanan data pasien yang ketat, dan setiap fasilitas atau bisnis terkait medis harus mematuhi peraturan HIPAA. Tugas audit keamanan dapat mencakup perhatian khusus untuk memastikan bahwa HIPAA diikuti di dalam perusahaan atau jaringan.
Bisnis keuangan atau bisnis lainnya dapat melakukan audit keamanan berdasarkan peraturan yang diberlakukan oleh tindakan Sarbanes-Oxley. Meskipun Sarbanes-Oxley dirancang sebagai perlindungan terhadap praktik akuntansi yang korup, undang-undangnya dapat mencakup elemen-elemen seperti audit keamanan sebagai bagian dari keseluruhan proses audit. Dalam kasus lain, undang-undang perlindungan konsumen mungkin mengharuskan bisnis untuk melakukan audit keamanan.
Sebuah bisnis mungkin sering memiliki kebijakan keamanan yang mengamanatkan kapan dan bagaimana audit keamanan harus dilakukan. Audit keamanan mungkin juga melibatkan melihat “pemeriksaan dan keseimbangan” dalam departemen atau sistem bisnis. Semua upaya ini ditujukan untuk tujuan keseluruhan menjaga data, dan menyediakan keamanan yang kompeten untuk segala jenis perusahaan. Auditor profesional dilatih dalam metrik yang tepat yang menunjukkan apakah sistem keamanan dapat diandalkan dan cukup terlindungi dari serangan luar.