信息安全审计

資訊安全稽核（英語：Information security audit）是對組織的資訊安全水平进行审计的过程，其工作主要是对系统活动紀錄和相關系统文件的獨立审查。資訊安全稽核的目的在于提高系统信息安全水平，避免存在风险的系统设计，并优化安全措施和安全流程的效率。^[1]在广泛的信息安全审计范围内，存在多种类型的审计和不同审计目标等。通常，审计的控制措施可以分为技术、物理和规范三大层面。信息安全审计涵盖的内容包括对数据中心的物理安全进行审计，对数据库的系统逻辑安全进行审计等，并注重这些领域需要关注的关键要素和不同的审计方法。

在信息技术（IT）领域，信息安全审计通常會視為是資訊科技稽核的一部份，會称为信息技术安全审计或计算机安全审计。然而，信息安全涵盖的范围远不止于IT领域，它涉及到一个组织的各个方面，包括技术、人员和工作流程。

信息安全审计的范围十分广泛，其目的亦可根据企业在不同阶段的发展目标而存在不同的侧重点，在以下领域均可进行开展：

• 信息安全管理组织与制度；
• 访问控制管理；
• 网络安全、漏洞扫描、渗透测试、代码安全扫描、机房及设备物理安全、应用系统安全、信息系统日志管理、加密传输和加密设备管理、补丁管理、IT 项目开发管理；
• 隐私数据安全、数据库和操作系统安全、信息资产分级和管理、数据资产全生命周期管理评估、信息安全事件管理、业务连续性；
• 人力安全、IT 外包安全管理、信息安全意识教育。^[2]

1. ^ Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. （原始内容存档于2023-04-17）. 
2. ^ 信息安全审计都有哪些内容. 网安. [2023-06-20]. （原始内容存档于2023-06-20） （中文）.