Sigurnosna revizija je analiza primjerenosti sigurnosti u sustavu informacijske tehnologije. Vrste općih sigurnosnih revizija uključuju IT reviziju za cjelokupne IT sustave tvrtke ili reviziju računalne sigurnosti za djelomični IT sustav ili proces. Ove vrste procesa interne revizije rade se kako bi se osigurala dovoljna sigurnost za bilo koju vrstu IT sustava unutar tvrtke.
Oni koji provode sigurnosnu reviziju mogu pogledati šifriranje ili druge elemente internetske ili računalne sigurnosti. Oni mogu obaviti intervjue s korisnicima računala kako bi utvrdili je li ljudski faktor slaba karika u smislu sigurnosti. Sigurnosni revizor može provesti test penetracije ili drugu vrstu sigurnosne procjene kako bi prosudio koliko siguran IT sustav može biti.
Neke vrste sigurnosnih revizija naručuje poslovno vodstvo kao dio zaštite rezultata poslovanja. Druge sigurnosne revizije provode se kako bi se osigurala usklađenost sa saveznim, državnim ili lokalnim zakonima kada korporativni podaci uključuju element javnog rizika. U tim slučajevima, vladine agencije mogu zahtijevati periodične sigurnosne revizije kako bi pokazale da tvrtka štiti javne podatke.
Zakonodavstvo poznato kao Zakon o prenosivosti i odgovornosti zdravstvenog osiguranja ili HIPAA glavni je pokretač sigurnosnih revizija za medicinske tvrtke. HIPAA pravila osiguravaju strogu sigurnost podataka o pacijentima, a svaka medicinska ustanova ili tvrtka mora biti u skladu s HIPAA propisima. Zadaci sigurnosne revizije mogu uključivati posebnu pozornost da se osigura da se HIPAA poštuje unutar tvrtke ili mreže.
Financijska ili druga poduzeća mogu provesti reviziju sigurnosti prema propisima nametnutim Sarbanes-Oxleyjevim zakonom. Iako je Sarbanes-Oxley osmišljen kao zaštita od korumpiranih računovodstvenih praksi, njegovo zakonodavstvo može uključivati elemente kao što su sigurnosne revizije kao dio cjelokupnog procesa revizije. U drugim slučajevima, zakonodavstvo o zaštiti potrošača može zahtijevati od poduzeća da provede reviziju sigurnosti.
Poduzeće često može imati sigurnosnu politiku koja nalaže kada i kako treba obaviti sigurnosnu reviziju. Sigurnosna revizija također može uključivati promatranje “provjera i ravnoteže” unutar odjela ili poslovnog sustava. Sav ovaj napor ide prema općem cilju zaštite podataka i pružanja kompetentne sigurnosti za bilo koju vrstu poduzeća. Profesionalni revizori obučeni su za precizne metrike koje pokazuju je li sigurnosni sustav pouzdan i razumno zaštićen od vanjskih napada.