Im Rahmen des Software-Audits wird das gesamte Umfeld der Softwareentwicklung durchleuchtet. Das Ziel ist, die Einhaltung aller erforderlichen Standards und Maßnahmen sicherzustellen. Meist ist auch zu prüfen, ob die definierten Maßnahmen ausreichend sind, oder ob der Maßnahmenkatalog angepasst werden muss.
Es gilt die Regel: „so gut wie nötig, nicht so gut wie möglich“. Also sind neben allfälligen Lücken auch jene Bereiche, in denen vielleicht Anforderungen aufwändig übererfüllt werden, aufzuzeigen.
Art und Umfang der Prüfung sind von Fall zu Fall unterschiedlich. Die Faktoren, Es gilt die Regel: „so gut wie nötig, nicht so gut wie möglich“. Also sind neben allfälligen Lücken auch jene Bereiche, in denen vielleicht Anforderungen aufwändig übererfüllt werden, aufzuzeigen. Die Prüfungsfelder können unter anderem folgende Punkte umfassen:
- Entwicklungsstandards: Vom Einsatz eines Vorgehensmodells über den Stand der Dokumentation und Nachvollziehbarkeit der Entwicklungsschritte bis zur Einhaltung von Code-Konventionen ist deren Angemessenheit zu prüfen.
- Sicherheit: Konfigurationsmanagement, Sicherung und Wiederherstellung, Zugriffsschutz, Schutz der Privatsphäre, Stabilität und Robustheit der Software, aber auch Zutrittskontrolle sind mögliche Aspekte.
- Compliance: Rechtsvorschriften, die für den Entwicklungsprozess oder die Software selbst gelten.
- Prüfbarkeit: Art und Umfang der Prüfungen, die erforderlich sind, Feststellung wie diese Prüfbarkeit unterstützt ist bzw. unterstützt werden kann. Die schörfste Form ist die Revisionssicherheit.
Daher ist nicht dur das Umfeld der Softwareentwicklung zu prüfen sondern oft auch die Eigenschaften der Software selbst, beispielsweise wenn es um Privatsphäre geht oder der Geschäftsbetrieb in hohem Maß von der ordnungsgemäßen Verfügbarkeit der Anwendung abhängt.