Для початку роботи з побудови системи інформаційної безпеки в комерційної організації, державному підприємстві, відомчому або галузевому установі необхідно отримати об'єктивну оцінку поточного рівня безпеки інформаційної системи і проаналізувати ризики, яким піддаються конфіденційні дані об'єкта. Такі заходи називають аудитом інформаційної безпеки і виділяють в дві категорії - зовнішній і внутрішній аудит. 
Якщо зовнішній аудит являє собою одноразовий захід (або графік регулярних разових заходів), то внутрішній аудит інформаційної безпеки організації є системним процесом, процедури якого виконуються постійно по ходу функціонування об'єкта. Аудит інформаційної безпеки регламентується як федеральними та міжнародними нормативними актами, так і внутрішніми положеннями про інформаційну безпеку підприємства. Крім об'єктивної оцінки власне рівня захищеності інформаційної структури організації, така оцінка інформаційної безпеки організації покликана виявляти вразливі елементи інформаційної системи, аналізувати і структурувати ризики для об'єкта з внесенням відповідних рекомендацій щодо підвищення рівня безпеки інформаційної системи.
Організація аудиту та аналізу безпеки інформаційної системи проводиться в рамках ІТ-аудиту підприємства і курується керівництвом, директором з інформаційних технологій або старшим офіцером безпеки. Оцінка стану безпеки інформаційної системи організації проводиться в кілька етапів, що включають збір і аналіз інформації, підготовку звіту та вироблення рекомендацій щодо оптимізації рівня інформаційної безпеки організації і захисту даних в організаціях від витоку .
Збір інформації - найдовший і найважливіший етап аудиту захищеності інформаційної системи підприємства. Він передбачає врахування і систематизацію організаційної структури підрозділів, що працюють з тими чи іншими елементами інформаційної системи підприємства, і, зрозуміло, детальну структуру самих елементів IT-структури організації. На основі зібраних даних з'являється можливість провести аналіз рівня інформаційної безпеки об'єкта. Такий аналіз будується на основі загроз інформаційній безпеці (ризики повинні бути попередньо об'єктивно оцінені і детально проаналізовані) і / або нормативної бази, що регулює аспекти інформаційної безпеки в сфері діяльності організації. За результатами аналізу інформації, аудитори складають аудиторський звіт і список рекомендацій до підвищення рівня інформаційної безпеки об'єкта. Звіт і рекомендації аудиторської комісії дають повну об'єктивну картину поточного рівня інформаційної безпеки організації, а також визначають перелік заходів, необхідних для оптимізації рівня захищеності інформаційної системи.
Оцінка безпеки інформаційної системи необхідна на рівні підготовчих робіт для побудови системи захисту інформації підприємства .
Версія для друку