Внешний и внутренний аудит информационной безопасности (ИБ) отличаются по целям, обстоятельствам проведения и субъектам проверки. 23

Внутренний аудит направлен на обеспечение самоконтроля внутри компании. 3 Специалисты самостоятельно находят слабые места в системе ИБ и устраняют их. 3 Для этого разрабатывают внутренний документ, в котором по пунктам расписывают формат, направления, сроки и желаемый результат. 2

Внешний аудит помогает получить объективную оценку состояния защищённости ИТ-инфраструктуры и процессов ИБ компании от сторонней организации. 3 Его проводят, когда произошёл инцидент информационной безопасности или нужно проверить соответствие ИБ требованиям нормативно-правовых актов РФ. 3 Для этого заключают договор с независимой организацией, которая предварительно погружается в бизнес-процессы компании и изучает её процессы ИБ. 3

Таким образом, внутренний аудит фокусируется на определённых процессах и системах внутри компании, а внешний — на всём спектре процессов и систем ИБ организации. 1