La Auditoría es un análisis pormenorizado de un sistema de información que permite descubrir,
identificar y corregir vulnerabilidades en los activos que lo componen y en los procesos que se realizan. Su finalidad es verificar que se cumplen los objetivos de la política de seguridad de la organización. Proporciona una imagen real y actual del estado de seguridad de un sistema de información.
Para evaluar la seguridad de un sistema de información se necesitan herramientas de análisis:
Manuales, Software específico para auditoría
La auditoría puede ser total, sobre todo el sistema de información, o parcial, sobre determinados activos o procesos.
La auditoría de un sistema de información puede realizarse:
Por personal capacitado perteneciente a la propia empresa.