金融行业的信息安全审计是指金融机构为了掌握其信息安全保障工作的有效性，根据事先确定的审计依据，在规定的审计范围内，通过文件审核，记录检查，技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度所进行的系统的、独立的并形成文件的过程。

金融行业可以单独实施信息安全审计，也可以将信息安全审计作为其他相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。

信息安全审计可以使金融机构掌握其信息安全保障工作效果的同时，也可以帮助金融机构了解其信息安全工作是否充分、是否适宜。因此，通过信息安全审计，金融机构可以全面了解和掌握其信息安全工作的有效性、充分性和适宜性。

♦　银监会：商业银行信息科技风险管理指引-2009

♦　ISO/IEC 27001《信息技术 安全技术 信息安全管理体系要求》

♦　GB/T 18336《信息技术 安全技术 信息技术安全性评估准则》

♦　GB/T 22239《信息安全技术 信息系统安全等级保护基本要求》

♦　《中国人民银行信息安全管理规定》等相关信息安全标准及监管要求