Kiểm toán bảo mật là một phân tích về tính đầy đủ của bảo mật trong một hệ thống công nghệ thông tin.Các loại kiểm toán bảo mật chung bao gồm kiểm toán CNTT cho tổng số hệ thống CNTT của công ty hoặc kiểm toán bảo mật máy tính cho một hệ thống hoặc quy trình CNTT một phần.Các loại quy trình kiểm toán nội bộ này được thực hiện để đảm bảo rằng bảo mật là đủ cho bất kỳ loại hệ thống CNTT nào trong một doanh nghiệp. Những người tiến hành kiểm toán bảo mật có thể xem xét mã hóa hoặc các yếu tố khác của bảo mật trực tuyến hoặc máy tính.Họ có thể thực hiện các cuộc phỏng vấn của người dùng máy tính để xác định xem yếu tố con người có phải là một liên kết yếu về mặt bảo mật hay không.Một kiểm toán viên bảo mật có thể theo đuổi thử nghiệm thâm nhập hoặc loại đánh giá bảo mật khác, để đánh giá mức độ an toàn của hệ thống CNTT. Một số loại kiểm toán bảo mật được lãnh đạo doanh nghiệp đặt hàng như là một phần của việc bảo vệ điểm mấu chốt cho doanh nghiệp.Các cuộc kiểm toán bảo mật khác được thực hiện để cung cấp tuân thủ luật pháp liên bang, tiểu bang hoặc địa phương khi dữ liệu của công ty bao gồm một yếu tố rủi ro công cộng.Trong những trường hợp này, các cơ quan chính phủ có thể yêu cầu kiểm toán an ninh định kỳ để cho thấy rằng một doanh nghiệp đang bảo vệ dữ liệu công cộng.

Pháp luật được gọi là Đạo luật về trách nhiệm và trách nhiệm bảo hiểm y tế hoặc HIPAA là động lực chính của kiểm toán an ninh cho các doanh nghiệp y tế.Các quy tắc HIPAA cung cấp cho bảo mật dữ liệu bệnh nhân nghiêm ngặt và mọi cơ sở hoặc doanh nghiệp liên quan đến y tế phải tuân thủ các quy định của HIPAA.Các nhiệm vụ kiểm toán bảo mật có thể bao gồm sự chú ý cụ thể để đảm bảo rằng HIPAA được tuân thủ trong công ty hoặc mạng. Tài chính hoặc các doanh nghiệp khác có thể tiến hành kiểm toán bảo mật theo các quy định do Đạo luật Sarbanes-Oxley áp đặt.Mặc dù Sarbanes-Oxley được thiết kế như một sự bảo vệ chống lại các hoạt động kế toán tham nhũng, luật pháp của nó có thể bao gồm các yếu tố như kiểm toán bảo mật như là một phần của quy trình kiểm toán tổng thể.Trong các trường hợp khác, luật bảo vệ người tiêu dùng có thể yêu cầu một doanh nghiệp tiến hành kiểm toán bảo mật. Một doanh nghiệp thường có thể có chính sách bảo mật bắt buộc khi nào và làm thế nào một cuộc kiểm toán bảo mật nên được thực hiện.Kiểm toán bảo mật cũng có thể liên quan đến việc xem xét kiểm tra và số dư trong một bộ phận hoặc hệ thống kinh doanh.Tất cả nỗ lực này hướng tới mục tiêu chung là bảo vệ dữ liệu và cung cấp bảo mật có thẩm quyền cho bất kỳ loại doanh nghiệp nào.Kiểm toán viên chuyên nghiệp được đào tạo về các số liệu chính xác cho thấy liệu một hệ thống bảo mật có đáng tin cậy hay không và được bảo vệ hợp lý trước các cuộc tấn công bên ngoài.