什么是安全审计(Security Audit)？

安全审计是对信息技术系统安全性的充分性进行的分析。一般安全审计的类型包括对公司整个IT系统的IT审计，或对部分IT系统或流程进行的计算机安全审核。这些类型的内部审核流程是为了确保企业内任何类型的IT系统都具有足够的安全性。安全审核可以包括测试计算机；进行安全审计的人可以查看加密或其他在线或计算机化安全要素。他们可以与计算机用户进行面谈，以确定人为因素是否存在安全方面的薄弱环节。安全审核员可以进行渗透测试或其他类型的安全评估，以判断IT系统的安全程度。安全审计是对信息技术系统中安全性充分性的分析。某些类型的安全审计是由企业领导层下令进行的，作为保护企业底线的一部分。其他安全性当公司数据包含公共风险元素时，进行审计是为了遵守联邦、州或地方法律。在这种情况下，政府机构可能要求定期进行安全审计，以证明企业正在保护公共数据作为国会颁布的《萨班斯-奥克斯利法案》的一部分，安全审计可以作为整个业务审计过程的一部分，被称为健康保险可移植性和责任法案（HIPAA）的立法是医疗安全审计的主要驱动力企业。HIPAA规则规定了严格的患者数据安全，每个医疗相关设施或企业都必须遵守HIPAA法规。安全审计任务可能包括特别注意确保公司或网络内遵守HIPAA根据《萨班斯-奥克斯利法案》（Sarbanes-Oxley act）的规定，金融或其他企业可以进行安全审计。尽管萨班斯-奥克斯利法案旨在防止腐败的会计行为，它的立法可能包括安全审计等内容，作为整个审计过程的一部分。在其他情况下，消费者保护立法可能要求企业进行安全审计。企业通常有一个安全政策要求何时以及如何进行安全审计。安全审计还可能涉及到部门或业务系统内的"制衡"。所有这些努力都是为了保护数据，并为任何类型的企业提供有能力的安全保障。专业的审计人员接受过精确的指标培训，这些指标可以显示一个安全系统是否可靠，是否合理地受到外部攻击的保护医疗机构中的安全审计可确保遵守HIPAA关于患者档案隐私的规定。