主要是从技术角度审查网络和系统的强壮性的，所以会用一些工具对网络和系统进行扫描和分析,不是纸面上的审核的意思， 所以不是仅查看规范、记录、日志就可以做到的。在GB/T22080-2016ISO/IEC 27001 标准附录A中A 18.2规定，认证组织应该定期开展信息安全独立评审工作，即信息安全审计工作。
认证组织内部实施的信息系统的安全性漏洞排查的过程，根据组织的具体业务和过程不同，审计的方法也不同，例如：漏洞扫描、防火墙检测、渗透测试、日志排查等手段。

• 信息安全审计适用于有以下特点的组织:

1. 信息系统本身脆弱，存在漏洞；
2. 信息系统处理技术太过复杂，操作过程中不可控因素多；
3. 信息管理部门对内网安全保护意识薄弱，保障系统的设计不足；
4. 信息安全保护系统运行效果不佳。

• 信息安全审计的主要流程：

根据预先确定的审计依据（信息安全法规、标准及用户自己的规章制度等），在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度。
信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时，也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性，包括以下方面：
信息安全组织机构、信息安全需求管理、信息安全制度建设、信息科技风险管理、信息安全意识教育和培训、信息资产管理、信息安全事件管理、应急和业务连续性管理、IT外包安全管理、业务秘密保护、存储介质管理、人员安全管理、物理安全、系统安全、网络安全、数据库安全、源代码安全、应用安全。