セキュリティ評価とは、システムやアプリケーションなどの環境に対する一貫したレビューです。

セキュリティ評価とは、組織や情報技術が想定している動きをしていることを確認することです。そのため、ポリシーやプロシージャなどの管理的コントロールやITシステムも含まれ、セキュリティ評価の範囲は複数の領域に跨っており、非常に広くなっています。

定期的に、組織と情報技術のコントロールの適性と有効性を測ることで、セキュリティリスクを未然に検知し、対応します。

評価を行うチームは、内部のメンバーもしくは専門職とする外部の第3者組織に一任されます。

セキュリティ評価の具体的な手法については、NIST SP 800-53Aに記載されています。