security audit

安全审计是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法。完整的安全审计通常评估系统物理配置以及环境、软件、信息处理过程、用户操作等的安全性，它常常用于判断计算机对规定组织该如何处理信息的法规的管理一致性。　　

根据互联网安全顾问团主席Ira Winkler，安全审计、易损性评估以及渗透性测试是安全诊断的三种主要方式。这三个分别采用不同的方法，分别适于特定的目标。安全审计测量信息系统对于一系列标准的性能。而易损性评估涉及整个信息系统的综合考察以及搜索潜在的安全漏洞。渗透性测试是一种隐蔽的操作，安全专家进行大量的攻击来探查系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能可能包括社会工程等真正黑客可能尝试的任何攻击。这些方法各有其固有的能力，联合使用两个或者多个可能是最有效的。