Audyt Bezpieczeństwa Systemów Informatycznych to działania związane ze skuteczną ochroną informacji. Polega na testowaniu poziomu bezpieczeństwa IT, tj. jego integralności, poufności, dostępności (poziomu zabezpieczeń), awaryjności, a także rzetelności i autentyczności przetwarzanych danych oraz spełniania wymogów standardów bezpieczeństwa. Dotyczy obszarów technicznych i organizacyjnych.
Nadmienić należy, że badanie podatności systemu oraz poziomu bezpieczeństwa przetwarzania danych staje się coraz częściej praktykowanym wymogiem prawnym. Źródłem są wytyczne w rozporządzeniu Rady Ministrów z dnia 12 kwietnia 2012 roku, w sprawie Krajowych Ram Interoperacyjności, dotyczących minimalnych wymagań dla rejestrów publicznych i wymiany informacji w postaci elektronicznej oraz minimalnych wymagań dla systemów teleinformatycznych.
W ramach Audytu przeprowadzane są:
- symulacje ataków (włamań do systemu),
- badania podatności pracowników na ataki socjotechniczne oraz ich wiedza,
- badania podatności systemów na niepożądane działania,
- analizy procedur bezpieczeństwa oraz weryfikacje ich stosowania – ze wskazaniem propozycji działań naprawczych podnoszących stabilność i minimalizujących zagrożenia.
Procedury sprawdzające wykonywane podczas Audytu Informatycznego:
- zarządzanie hasłami dostępu, kontami pracowników, kopiami zapasowymi, błędami, ochroną danych osobowych, stosowaniem właściwych przepisów oraz polityką bezpieczeństwa,
- zabezpieczanie techniczne wszystkich komputerów – zawartych w nich danych, poczty elektronicznej, ochrony antywirusowej, antyspamowej, stosowanych mechanizmów logowania i autoryzacji oraz konfiguracji oprogramowania,
- prognozowanie podatności na ataki m. in. poprzez ich symulację, np. testy penetracyjne przeprowadzane zdalnie bądź w siedzibie klienta.