☆ 揭示信息安全风险的最佳手段

☆ 改进信息安全现状的有效途径

☆ 满足信息安全合规要求的有力武器

根据预先确定的审计依据（信息安全法规、标準及用户自己的规章制度等），在规定的审计範围内，通过档案审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度。

信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时，也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性，包括以下方面：

信息安全组织机构

信息安全需求管理

信息安全制度建设

信息科技风险管理

信息安全意识教育和培训

信息资产管理

信息安全事件管理

应急和业务连续性管理

IT外包安全管理

业务秘密保护

存储介质管理

人员安全管理

物理安全

系统安全

网路安全

资料库安全

原始码安全

套用安全

信息安全审计适用于各种类型、各种规模的组织，特别是对IT依赖度高的组织，如金融、电力、航空航天、军工、物流、电子商务、政府部门等。各个行业和部门可以单独实施信息安全审计，也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。

ISO/IEC 27001（GB/T22080）信息安全管理体系要求；

GB/T22239信息安全等级保护基本要求；

银监会《商业银行信息科技风险管理指引》；

组织自己的信息安全规章制度。