信息安全審計

資訊安全稽核（英文：Information security audit）是對組織的資訊安全水平進行審計的過程，其工作主要是對系統活動紀錄和相關系統文件的獨立審查。資訊安全稽核的目的在於提高系統信息安全水平，避免存在風險的系統設計，並優化安全措施和安全流程的效率。^[1]在廣泛的信息安全審計範圍內，存在多種類型的審計和不同審計目標等。通常，審計的控制措施可以分為技術、物理和規範三大層面。信息安全審計涵蓋的內容包括對數據中心的物理安全進行審計，對數據庫的系統邏輯安全進行審計等，並注重這些領域需要關注的關鍵要素和不同的審計方法。

在信息技術（IT）領域，信息安全審計通常被稱為信息技術安全審計或計算機安全審計。然而，信息安全涵蓋的範圍遠不止於IT領域，它涉及到一個組織的各個方面，包括技術、人員和工作流程。因此，信息安全審計是確保整個組織在信息安全方面健康運行的重要環節^{[誰說的？]}。

範圍

信息安全審計的範圍十分廣泛，其目的亦可根據企業在不同階段的發展目標而存在不同的側重點，在以下領域均可進行開展：

• 信息安全管理組織與制度；
• 訪問控制管理；
• 網絡安全、漏洞掃描、滲透測試、代碼安全掃描、機房及設備物理安全、應用系統安全、信息系統日誌管理、加密傳輸和加密設備管理、補丁管理、IT 項目開發管理；
• 隱私數據安全、數據庫和操作系統安全、信息資產分級和管理、數據資產全生命周期管理評估、信息安全事件管理、業務連續性；
• 人力安全、IT 外包安全管理、信息安全意識教育。^[2]

參考資料

1. Holistic IT Governance, Risk Management, Security and Privacy: Needed for Effective Implementation and Continuous Improvement. ISACA. [2023-06-20]. （原始內容存檔於2023-04-17）. 
2. 信息安全审计都有哪些内容. 網安. [2023-06-20]. （原始內容存檔於2023-06-20） （中文）.