安全审计是一个新概念，它指由专业审计人员根据有关的法律法规、财产所有者的委托和管理当局的授权，对计算机网络环境下的有关活动或行为进行系统的、独立的检查验证，并作出相应评价。安全审计（security audit）是通过测试公司信息系统对一套确定标准的符合程度来评估其安全性的系统方法。

信息安全审计主要是指对系统中与安全有关的活动的相关信息进行识别、记录、存储和分析。信息安全审计的记录用于检查网络上发生了哪些与安全有关的活动，谁（哪个用户）对这个活动负责。

安全审计涉及四个基本要素:控制目标、安全漏洞、控制措施和控制测试。其中,控制目标是指企业根据具体的计算机应用,结合单位实际制定出的安全控制要求。安全漏洞是指系统的安全薄弱环节,容易被干扰或破坏的地方。控制措施是指企业为实现其安全控制目标所制定的安全控制技术、配置方法及各种规范制度。控制测试是将企业的各种安全控制措施与预定的安全标准进行一致性比较,确定各项控制措施是否存在、是否得到执行、对漏洞的防范是否有效,评价企业安全措施的可依赖程度。显然,安全审计作为一个专门的审计项目,要求审计人员必须具有较强的专业技术知识与技能。

安全审计是审计的一个组成部分。由于计算机网络环境的安全将不仅涉及国家安危,更涉及到企业的经济利益。因此,我们认为必须迅速建立起国家、社会、企业三位一体的安全审计体系。其中,国家安全审计机关应依据国家法律,特别是针对计算机网络本身的各种安全技术要求,对广域网上企业的信息安全实施年审制。另外,应该发展社会中介机构,对计算机网络环境的安全提供审计服务,它与会计师事务所、律师事务所一样,是社会对企业的计算机网络系统的安全作出评价的机构。当企业管理当局权衡网络系统所带来的潜在损失时,他们需要通过中介机构对安全性作出检查和评价。此外财政、财务审计也离不开网络安全专家,他们对网络的安全控制作出评价,帮助注册会计师对相应的信息处理系统所披露信息的真实性、可靠性作出正确判断。

根据互联网安全顾问团主席Ira Winkler，安全审计、易损性评估以及渗透性测试是安全诊断的三种主要方式。这三个分别采用不同的方法，分别适于特定的目标。安全审计测量信息系统对于一系列标准的性能。而易损性评估涉及整个信息系统的综合考察以及搜索潜在的安全漏洞。渗透性测试是一种隐蔽的操作，安全专家进行大量的攻击来探查系统是否能够经受来自恶意黑客的同类攻击。在渗透性测试中，伪造的攻击可能可能包括社会工程等真正黑客可能尝试的任何攻击。这些方法各有其固有的能力，联合使用两个或者多个可能是最有效的。

安全审计跟踪的功能是：帮助安全人员审计系统的可靠性和安全性;对妨碍系统运行的明显企图及时报告给安全控制台，及时采取措施。一般要在网络系统中建立安全保密检测控制中心，负责对系统安全的监测、控制、处理和审计。所有的安全保密服务功能、网络中的所有层次都与审计跟踪系统有关。

审计，英文称之为“audit”。审计执行是以确定有效性和可靠性的信息，还提供了一个可内控的评估系统。审计的目标是在测试环境中进行评估工作，并表达人/组织/系统等的评估意见。由于实际情况的限制，审计要求只提供合理、无重大错误的保证报表，审计往往是通过统计抽样。也可以这样理解审计，审计(Audit)是指检查、验证目标的准确性和完整性，用以检查和防止虚假数据和欺骗行为，以及是否符合既定的标准、标竿和其它审计原则。 各国各级政府、组织一般都设有专门独立的审计部、审计委员会、审计署等机构。以往的审计概念主要用于财务系统。财务审计是用真实的和公正的财务报表来体现的。传统的审计，主要是获取金融体系和金融记录的公司或企业的财务报表的相关信息。而随着科技信息技术的发展，大部分的企业、机构和组织的财务系统都运行在信息系统上面，所以信息手段成为财务审计的一种技术的同时，财务审计也间接带动了通用信息系统的审计。