Разница между внутренним и внешним аудитом информационных систем заключается в следующих аспектах:

1. Цель. 1 Внутренний аудит направлен на обеспечение самоконтроля внутри компании, а внешний — на выстраивание процессов информационной безопасности в соответствии с лучшими мировыми практиками и требованиями нормативно-правовых актов. 1
2. Обстоятельства. 1 Внутренний аудит — это регулярная проверка, для которой не нужен особый повод. 1 Внешний аудит компания проводит по своей инициативе (например, когда произошёл инцидент информационной безопасности) или по требованию регуляторов. 1
3. Аудитор. 1 Внутренний аудит компания проводит самостоятельно силами собственного отдела по информационной безопасности, а внешний — независимая сторонняя организация. 1
4. Подготовка. 1 Перед внутренним аудитом специалисты отдела информационной безопасности готовят внутренний документ, в котором расписывают весь процесс проверки. 1 Перед внешним аудитом компания заключает договор со сторонней организацией, которая предварительно погружается в бизнес-процессы компании и изучает её процессы информационной безопасности. 1
5. Предмет проверки. 1 В ходе внутреннего аудита специалисты компании проверяют права доступа сотрудников к конфиденциальной информации, учётные записи и т. д.. 1 Внешний аудит больше направлен на проверку защищённости ИТ-инфраструктуры в целом и процессы информационной безопасности. 1
6. Периодичность. 1 Внутреннюю проверку рекомендуется проводить 4–6 раз в год, а внешнюю — не реже одного-двух раз в год. 17
7. Отчётность. 1 По итогам внутреннего аудита отчёт готовят специалисты отдела информационной безопасности компании, а по внешнему — сертифицированные специалисты сторонней организации. 1 Отчёт по внешнему аудиту пишут независимые эксперты, поэтому бизнес получает более полную и объективную информацию. 1