기업 경영진은 종종 “침투 테스트”를 “컴퓨터 보안 감사”와 혼동합니다. 그들은 아마도 가장 큰 실수를 저지르고 있을 것입니다. 왜냐하면 펜 테스트 또는 침투 테스트는 시스템의 취약성을 식별하는 데 사용되는 테스트 기술의 한 유형일 뿐이기 때문입니다. 그러나 침투 테스트는 종종 방화벽 외부에서 최소한의 내부 정보로 수행되어 실제 해커가 시스템에 액세스하는 방식을 재현합니다.

그러나 컴퓨터 보안 감사는 전체 시스템에 대한 체계적이고 관리 가능하며 기술적인 평가로, 전반적인 보안 정책의 취약성을 평가합니다. 컴퓨터 보안 감사자는 조직에 대한 완전한 지식을 바탕으로 작업하며, 때로는 기밀 정보에 대한 완전한 액세스 권한을 얻어 감사를 위해 고려되는 리소스를 파악합니다.

VAPT 테스트와 달리, 완전한 보안 감사는 효과적인 보안 정책을 유지하기 위한 정기적인 비즈니스 활동의 일부로 이루어집니다. 경영진은 감사가 회의실 활동이 아니라는 것을 이해해야 합니다. 감사는 다음과 같은 중요한 질문에 대한 답을 얻기 위한 다양하고 복잡한 프로세스의 집합입니다.

비밀번호는 충분히 안전한가?
프로세스 제어 목록(ACL)이 정확하게 작동하고 있습니까? 그리고 공유 데이터에 누가 접근할 수 있습니까?
감사 로그가 기록되고 검토됩니까?
다른 운영체제에 대한 보안 설정이 구현된 보안 관행에 따른 것입니까?
사용 중인 운영 체제와 상업용 애플리케이션이 기준에 맞는가?
미디어 백업은 어떻게 저장되나요? 누가 기밀 데이터에 접근할 수 있나요? 비밀번호가 강력하고 정기적으로 변경되나요?
재해 복구 계획이 있습니까? 또는 회사가 데이터 침해에 대처할 준비가 되어 있습니까?
맞춤형 애플리케이션은 악성 활동으로부터 어떻게 보호됩니까?
사용자 정의 빌드 애플리케이션은 보안 결함에 대해 어떻게 테스트됩니까? 향후 취약성에 대비해 어떻게 보호할 계획입니까?
감사의 모든 수준에서 포괄적인 정보를 제공하기 위해 구성 및 코드 변경 사항을 어떻게 문서화합니까?