Одитът на информационната сигурност дава ясна представа за нивото на защита на организацията и наличните ѝ уязвимости. Използвайки утвърдени методи и стандарти, той позволява оценка на риска и формулиране на конкретни мерки за подобрение на сигурността.

       Процесът протича в два етапа:

​

Етап 1: Преглед на текущото състояние

Извършва се цялостен анализ на:

• Политики и процеси по информационна сигурност

• Администриране и разпределение на права

• Одитни записи и инциденти по сигурността

• Документация, роли и отговорности

• Класификация на информацията и активите

• Сигурност на персонала и взаимодействие с трети страни

• Управление на промени и разработка на системи

• Трафик, криптография, мрежова и физическа защита

• Достъп, работа от разстояние и защита от зловреден софтуер

• Управление на системни записи, резервни копия и планове за непрекъсваемост

• Рисков анализ и приоритизация

​

Етап 2: Доклад и анализ

Изготвя се подробен доклад, съдържащ:

• Констатации и GAP анализ

• Оценка на съответствието със стандартите

• Идентифициране и класифициране на рисковете

​​​​