セキュリティ監査では、セキュリティ評価が現実的に有効であるかを独立した監査を行います。独立した監査とは、利害関係がないものによる監査を指します。セキュリティ評価は自身の組織コントロールの適性を確認するもので、つまり自己評価の近いものですが、セキュリティ監査では現実的に有効であるかを確認し、客観的な信頼を獲得する目的があります。

内部監査とは、欠陥を見つけるための内部監査です。ある会社の特定部署の監査を行う際に、利害関係性のないグループを内部監査人として任命します。内部監査人は結果レポートを提出することが要求され、その際は内部監査の独立性を担保するためにCEOに直接報告します。

外部監査とは、コンプライアンスを検証する外部監査です。外部監査人は専門家であり、客観的な評価により信頼性が高まります。プライスウォーターハウスクーパース（ PricewaterhouseCoopers ）、デロイト トウシュ トーマツ（Deloitte & Touche）、KPMG、アーンスト・アンド・ヤング（EY）がBIG4と呼ばれる監査組織があります。