Revizija računalniške varnosti je tehnična ocena, kako dobro so izpolnjeni cilji informacijske varnosti podjetja ali organizacije. Podjetja večino časa najamejo strokovnjake za informacijsko tehnologijo (IT) za izvajanje revizij, običajno naključno ali nenapovedano. Eden od glavnih ciljev revizije je vodstvenim delavcem zagotoviti predstavo o splošnem zdravju varnosti njihovega omrežja. Poročila so pogosto izčrpna in dokumentirajo skladnost skupaj z morebitnimi odkritimi tveganji. Odvisno od vrste omrežja in kompleksnosti zadevnih sistemov je včasih mogoče opraviti revizijo računalniške varnosti v manjšem obsegu z namenskim programom.
Omrežja, intranetne povezave in dostopnost do interneta so naredili poslovanje podjetij izjemno učinkovito, vendar s to učinkovitostjo prihaja tudi določena stopnja ranljivosti. Pogosta tveganja vključujejo vdiranje, krajo informacij in računalniške viruse. Podjetja običajno izvajajo številne programe za omrežno varnost, da ublažijo ta tveganja. Običajno ustvarjajo tudi pravila najboljše prakse, ki urejajo uporabo omrežja. Revizija računalniške varnosti je način, da vodje podjetij vsak dan pogledajo, kako ti ukrepi delujejo.
Revizije so običajno lahko tako ozke ali tako obsežne, kot želijo administratorji. Podjetja običajno revidirajo posamezne oddelke in se osredotočajo na posebne grožnje, kot so moč gesla, trendi dostopa do podatkov zaposlenih ali splošna celovitost domače strani podjetja. Bolj obsežna revizija računalniške varnosti hkrati oceni vse nastavitve, določbe in dejanja za informacijsko varnost družbe.
V večini primerov se revizija ne konča s seznamom tveganj. Razumevanje potencialnih ranljivosti je zelo pomembno, vendar samo po sebi ne zagotavlja varnosti omrežja. Poročila o reviziji računalniške varnosti morajo podrobno opisati tudi običajno uporabo – natančneje, kako je ta uporaba v skladu z varnostnimi cilji podjetja – in nato podati predloge za izboljšave.
Analiza dostopa do občutljivih podatkov je običajno glavni del revizije računalniške varnosti. Poznavanje, kateri zaposleni so dostopali do podatkov, kako pogosto in zakaj, lahko vodjem podjetij omogoči vpogled v to, kako zasebne informacije so v resnici. Revizorji si lahko ogledajo tudi varnostne nastavitve za korporativna sredstva, kot so spletno mesto glavnega računalnika in posamezni e-poštni računi, in lahko običajno izračunajo, kolikokrat je bil vsak prijavljen v obdobju revizije. Cilj tukaj ni toliko slediti posameznim zaposlenim, kot je pridobiti občutek povprečnih vzorcev prometa in razumeti običajne modele uporabe.
Bolj kot karkoli drugega je glavni cilj revizije zagotoviti celovito sliko okolja računalniške varnosti. Večina podjetij redno načrtuje revizije, pogosto prek svojih IT oddelkov ali zunanjih izvajalcev. S pomočjo teh vaj se naučijo biti proaktivni pri odzivu na razvijajoče se grožnje. Številni posodobijo svojo protivirusno in računalniško varnostno programsko opremo, spremenijo pravilnike o geslih in povečajo moč svojih požarnih zidov kot odziv na ugotovitve in priporočila revizijskega poročila.