信息系統(tǒng)安全審計是評判一個信息系統(tǒng)是否真正安全的重要標準之一。通過安全審計收集、分析、評估安全信息、掌握安全狀態(tài)，制定安全策略，確保整個安全體系的完備性、合理性和適用性，才能將系統(tǒng)調整到“最安全”和“最低風險”的狀態(tài)。安全審計已成為企業(yè)內控、信息系統(tǒng)安全風險控制等不可或缺的關鍵手段，也是威懾、打擊內部計算機犯罪的重要手段。
在國際通用的CC準則（即ISO/IEC15408-2:1999《信息技術安全性評估準則》）中對信息系統(tǒng)安全審計（ISSA，Information System Security Audit）給出了明確定義：信息系統(tǒng)安全審計主要指對與安全有關的活動的相關信息進行識別、記錄、存儲和分析；審計記錄的結果用于檢查網絡上發(fā)生了哪些與安全有關的活動，誰（哪個用戶）對這個活動負責；主要功能包括：安全審計自動響應、安全審計數據生成、安全審計分析、安全審計瀏覽、安全審計事件選擇、安全審計事件存儲等。
這是國際CC準則給出的一個比較抽象的概念，通俗來講，信息安全審計就是信息網絡中的“監(jiān)控攝像頭”，通過運用各種技術手段，洞察網絡信息系統(tǒng)中的活動，全面監(jiān)測信息系統(tǒng)中的各種會話和事件，記錄分析各種網絡可疑行為、違規(guī)操作、敏感信息，幫助定位安全事件源頭和追查取證，防范和發(fā)現計算機網絡犯罪活動，為信息系統(tǒng)安全策略制定、風險內控提供有力的數據支撐。