所謂安全審計(jì)，是指評估企業(yè)安全風(fēng)險(xiǎn)以及如何應(yīng)對風(fēng)險(xiǎn)措施的一個(gè)過程。這是一個(gè)人為的過程，有一群擁有相關(guān)計(jì)算機(jī)專業(yè)技能和商業(yè)知識的審計(jì)人員操作進(jìn)行。作為審計(jì)的一個(gè)過程，審計(jì)人員會詢問關(guān)鍵職員，實(shí)施漏洞評估，給現(xiàn)有的安全政策和控制造冊，檢查IT資產(chǎn)。很多情況下，審計(jì)很大程度上有賴于技術(shù)工具。

安全審計(jì)的焦點(diǎn)問題如下：

1. 密碼是否牢靠?

2. 網(wǎng)絡(luò)是否有訪問控制清單?

3. 訪問日志是否記錄了訪問數(shù)據(jù)的人員?

4. 個(gè)人電腦是否經(jīng)常掃描廣告軟件和惡意軟件?

5. 誰有權(quán)訪問組織中的備份存儲媒介?

當(dāng)然以上只是例舉了一小部分問題。

審計(jì)不是一個(gè)短期的靜止的過程，而是一個(gè)連續(xù)不斷需要提高的過程。一些評論家說，審計(jì)的焦點(diǎn)應(yīng)該在于評估企業(yè)現(xiàn)行的安全政策是否兼容一致。當(dāng)然，審計(jì)不僅僅是評估兼容性問題，還有企業(yè)安全政策和控制本身。很多時(shí)候，企業(yè)一些老舊的管理規(guī)定趕不上新的技術(shù)的發(fā)展。安全審計(jì)是最有效的辦法。