Hlavním úkolem bezpečnostního auditu je porovnání reálné situace v oblasti bezpečnosti informačního systému se situací požadovanou bezpečnostní politikou. Audit může být hloubkový a kompletní. Při penetračních testech jsou útoky aktivní a snažící se prolomit přijatá bezpečnostní opatření.
Bezpečnostní audit může být proveden na úrovni organizačních politik a pravidel, na úrovni technické – hardware, software či na úrovni firemních procesů. Součástí bezpečnostního auditu by měly být také související oblasti, jako je zálohování či antivirová ochrana.
Jak bezpečnostní audit, tak i penetrační testy mohou být prováděny jednorázově či opakovaně v pravidelných intervalech.