Un audit di sicurezza è una valutazione completa del sistema informativo dell'organizzazione; in genere, questa valutazione misura la sicurezza del tuo sistema informativo rispetto a un elenco di controllo delle migliori pratiche del settore, standard stabiliti esternamente o normative federali.
L'audit (pronunciato àudit alla latina o òdit all'inglese) è una valutazione indipendente volta a ottenere evidenze relativamente ad un determinato oggetto, e valutarle con obiettività, al fine di stabilire in quale misura i criteri prefissati siano stati soddisfatti o meno.
In una prima fase, dunque, gli auditor mireranno a verificare la conformità del sistema controllando che procedure, linee guida, prescrizioni, regole e requisiti siano stati definiti e vengano regolarmente seguiti. In poche parole, occorrerà verificare che l'organizzazione faccia davvero quello che afferma di fare.
Gli audit vengono fatti essenzialmente per due motivi: per determinare se i requisiti siano soddisfatti (audit di conformità) per individuare le opportunità di miglioramento (audit di performance)
L'audit si svolge generalmente sulla base di un campionamento di evidenze e pertanto ha un margine di errore dovuto al fatto che attesta un risultato complessivo a partire da un numero limitato di elementi selezionati. Questo è dovuto alla limitatezza delle risorse che si possono mettere a disposizione per un audit.