Аудит IT безопасности - это независимая экспертная оценка безопасности функционирования информационных систем организации или сервиса. В ходе проведения внешнего аудита IT безопасности дается оценка текущего уровня защиты корпоративных информационных систем, проводится анализ возможных угроз, поиск незащищенных мест в существующих информационных системах, проводится оценка соответствия IT предприятия современным стандартам безопасности. На основе полученных в ходе аудита данных, разрабатываются рекомендации по повышению уровня безопасности информационных систем организации.
Главная задача проведения аудита информационной безопасности состоит в поиске слабых мест корпоративных систем, поэтому в ходе проведения проверки специалисты по IT безопасности будут пытаться их "взломать и сломать". Перед ними будет стоять задача получить несанкционированный доступ к конфиденциальным данным (финансовые данные, информация о клиентах), нарушить доступность корпоративных сервисов, получить доступ к рабочим серверам, внедрить или заменить исходные коды программного обеспечения из систем контроля версий. Кроме этого, проводится проверка соответствия информационной системы Приказу №21 ФСТЭК России, СТО БР ИББС (для организаций банковской сферы) и проверка соответствия web-серверов рекомендациям CIS (Center for Internet Security).