Mikä on tietoturva-auditoinnin ja testauksen ero?

Tietoturva-auditointi vastaa siis siihen kysymykseen, täyttyvätkö järjestelmälle asetetut, usein ulkoiset, tietoturvavaatimukset. Vaatimukset itsessään ovat usein tarkastuslistoja, jotka eivät lähtökohtaisesti huomioi järjestelmän ominaispiirteitä; ne ovat siis kaikille samat.

Tietoturvatestaus eroaa auditoinnista siinä, että järjestelmän tietoturvavaatimukset eivät johda tekemistä. Tekeminen on luonteeltaan kokeilevaa, mukautuvaa ja ennen kaikkea luovaa eikä se perustu valmiisiin tarkastuslistoihin tai vaatimuksiin. Testauksessa pääpaino on haavoittuvuuksien etsimisessä järjestelmästä sekä niiden liiketoiminnalle aiheuttamien riskien arvioinnissa. 

Ero on loppujen lopuksi melko selkeä, vaikka molemmissa arvioidaan teknisen kohteen tietoturvallisuutta: auditointia varten tarvitaan tietoturvaa koskevat vaatimukset, testausta varten ei. 

Auditointi liittyy vaatimustenmukaisuuteen, tietoturvatestaus riskienhallintaan. Samaa järjestelmää voidaan myös tarkastella molemmista näkökulmista samanaikaisesti. Tällöin voidaan ajatella, että ne jäännösriskit, joihin ulkoiset vaatimukset eivät suoraan ota kantaa järjestelmän erityispiirteiden vuoksi, hallitaan testaamalla.

Lue blogistamme lisää näiden menetelmien kattavasta vertailusta: Tietoturva-auditointi vai pentestaus – kumman tarvitset?