Анализ информационной безопасности в компаниях проводится в рамках аудита системы безопасности. 1 Он позволяет выявить недостатки и возможные угрозы, а также улучшить эффективность процессов защиты информации. 4

Аудит состоит из нескольких этапов: 1

1. Определение границ и глубины оценки. 1 Руководство компании решает, в каких областях проводить обследование. 1
2. Сбор и систематизация данных о видах информации, которая возникает, хранится и передаётся внутри компании, и которой обмениваются с внешними контрагентами. 1 Также проводят инвентаризацию всех технических и программных средств, используемых для генерации, хранения и передачи данных. 1
3. Обследование информационных процессов. 1 Определяют участников информационных процессов, как они проходят, какие ресурсы используют, требуемые согласования. 1
4. Оценка технического и программного обеспечения. 1 Оценивают сетевое оборудование и компьютеры, базы данных, антивирусы и сетевые экраны, операционные системы на сервере и локальных машинах, средства интернет-коммуникации и другие пользовательские программы и приложения. 1
5. Сравнение текущей ситуации с техническим заданием на структуру и функции безопасной информационной системы. 1 Выявляют слабые места, ищут уязвимости и определяют риски. 1
6. Подготовка отчёта для руководства (заказчика) с указанием недостатков и степени их опасности. 1 Возможно составление плана первоочередных мероприятий по борьбе с высокорисковыми угрозами. 1

Для проведения аудита используются различные методы, например: сканирование уязвимостей, тестирование на проникновение, мониторинг событий, анализ лог-файлов, оценка рисков и другие. 3

Аудит может проводиться как внутренними силами организации, так и независимыми экспертами. 3