Bei einem Sicherheits-Audit wird geprüft, ob die Sicherheitsvorgaben im Unternehmen eingehalten werden. Audits sollen grundsätzlich durch unabhängige Dritte durchgeführt werden, welche die nötige Fachkenntnis besitzen. Zur Durchführung ist z.B. der IT Sicherheitsbeauftragten zu bestellen. Die Systemadministration des Unternehmens ist hierbei nicht geeignet, da sie sich nicht wirksam selbst kontrollieren kann.

Das Sicherheitskonzept muss dokumentiert sein und wird im Rahmen des Audits mit geprüft. Zur Dokumentation gehören z.B. Sicherheitsrichtlinien für Router, Datensicherungsmechanismen, Passwortrichtlinien, sowie Berichts-, Melde- und Eskalationsverfahren, uw. Sicherheitsrelevant sind auch: Aufbau der Nutzer und Gruppenverwaltung, Notfall- system und verfahren, Backupsysteme, Berechtigungsprozess sicherheitskritischer Ressourcen, Überwachung von Systemen. Mit diversen Tools wird die technische Umsetzung der Sicherheit geprüft, z.B. Konfigurationen von Netzkomponenten, Protokolldateien, uva. Die technische Prüfung kann bei komplexen Systemen sehr umfangreich sein und erfolgt dann meist stichprobenartig.

Vor dem Audit werden die durchzuführenden Massnahmen vertraglich geregelt.