En säkerhetsrevision är en analys av tillräckligheten av säkerheten i ett IT-system. Typer av allmänna säkerhetsrevisioner inkluderar en IT-revision för företagets totala IT-system, eller en datorsäkerhetsrevision för ett partiellt IT-system eller -process. Dessa typer av internrevisionsprocesser görs för att säkerställa att säkerheten är tillräcklig för alla typer av IT-system inom en verksamhet.
De som genomför en säkerhetsrevision kan titta på kryptering eller andra delar av online- eller datoriserad säkerhet. De kan göra intervjuer med datoranvändare för att avgöra om den mänskliga faktorn är en svag länk vad gäller säkerhet. En säkerhetsrevisor kan genomföra ett penetrationstest, eller annan typ av säkerhetsbedömning, för att bedöma hur säkert ett IT-system kan vara.
Vissa typer av säkerhetsrevisioner beställs av företagsledningen som en del av att skydda resultatet för ett företag. Andra säkerhetsrevisioner görs för att säkerställa efterlevnad av federala, statliga eller lokala lagar när företagsdata innehåller ett offentligt riskelement. I dessa fall kan statliga myndigheter kräva periodiska säkerhetsrevisioner för att visa att ett företag skyddar offentliga uppgifter.
Den lagstiftning som kallas Health Insurance Portability and Accountability Act eller HIPAA är en viktig drivkraft för säkerhetsrevisioner för medicinska företag. HIPAA-reglerna tillhandahåller strikt patientdatasäkerhet, och varje medicinskt relaterad anläggning eller verksamhet måste följa HIPAA-reglerna. Säkerhetsrevisionsuppgifter kan innefatta särskild uppmärksamhet för att se till att HIPAA följs inom företaget eller nätverket.
Finansiella eller andra företag kan genomföra en säkerhetsrevision i enlighet med reglerna enligt Sarbanes-Oxley-lagen. Även om Sarbanes-Oxley utformades som ett skydd mot korrupta redovisningspraxis, kan dess lagstiftning innehålla element som säkerhetsrevisioner som en del av en övergripande revisionsprocess. I andra fall kan konsumentskyddslagstiftningen kräva att en verksamhet genomför en säkerhetsrevision.
Ett företag kan ofta ha en säkerhetspolicy som föreskriver när och hur en säkerhetsrevision ska göras. Säkerhetsrevisionen kan också innebära att man tittar på ”checks and balances” inom en avdelning eller ett affärssystem. Alla dessa ansträngningar går mot det övergripande målet att skydda data och tillhandahålla kompetent säkerhet för alla typer av företag. Professionella revisorer är utbildade i de exakta mått som visar om ett säkerhetssystem är tillförlitligt och rimligt skyddat mot attacker utifrån.