Аудит информационной безопасности - процесс проведения оценки соответствия реализованных организационных и технических мер требованиям и рекомендациям стандартов ИБ. Аудит может быть как обязательным, так и добровольным.
К основным целям аудита информационной безопасности относятся оценка текущего уровня защищенности корпоративной информационной системы; анализ и прогноз рисков осуществления угроз информационной безопасности; оценка соответствия информационной системы требованиям действующего законодательства, существующим отечественным и международным стандартам в области информационной безопасности; выработка рекомендаций по повышению защищенности информационных активов организации.
Организация может проводить аудит самостоятельно (внутренний или первой стороны) или с привлечением независимой сторонней подрядной организации (внешний или третьей стороны). Для определенных категорий организаций внешний аудит ИБ является обязательным и должен проводиться в установленные сроки.
Для финансовых организаций основным инструментом определения уровня информационной безопасности является оценка соответствия требованиям Положения ЦБ РФ № 382-П от 9 июня 2012 года «О требованиях к обеспечению защиты информации при осуществлении переводов денежных средств и о порядке осуществления Банком России контроля за соблюдением требований к обеспечению защиты информации при осуществлении переводов денежных средств».