信息安全审计与信息安全管理密切相关，信息安全审计的主要依据为信息安全管理相关的标准，例如ISO/IEC 17799、ISO 17799/27001、COSO、COBIT、ITIL、NIST SP800系列等。这些标准实际上是出于不同的角度提出的控制体系，基于这些控制体系可以有效地控制信息安全风险，从而达到信息安全审计的目的，提高信息系统的安全性。因此，面向业务的信息安全审计系统可以理解成是信息安全审计的一个重要的分支。

    根据国外的经验，如在美国的《萨班斯-奥克斯利法案（2002 Sarbanes-Oxley Act）》的第302条款和第404条款中，强调通过内部控制加强公司治理，包括加强与财务报表相关的IT系统内部控制，其中，IT系统内部控制就是面向具体的业务，它是紧密围绕信息安全审计这一核心的。同时，2006年底生效的巴赛尔新资本协定(Basel II)，要求全球银行必须针对其市场、信用及营运等三种金融作业风险提供相应水准的资金准备，迫使各银行必须做好风险控管(risk management)，而这部“金融作业风险”的防范也正是需要业务信息安全审计为依托。这些国家和组织对信息安全审计的定位已经从概念阶段向实现阶段过渡了，他们走在了我们的前面。

    可喜的是，我国政府行业、金融行业已相继推出了数十部法律法规，如：国家《计算机信息系统安全保护等级划分准则》、《商业银行内部控制指引 》、《中国移动集团内控手册》、《中国电信股份公司内部控制手册》、《中国网通集团内部控制体系建设指导意见》、《银行业金融机构信息系统风险管理指引》、《商业银行合规风险管理指引》、《中国银行业监督委员会办公厅文件银监办通313号》、《保险公司内部审计指引（试行）》、《保险公司风险管理指引（试行）》、《深圳证券交易所上市公司内部控制指引 》、《上海证券交易所上市公司内部控制指引 》等，这些法律法规的出台确立了面向业务的信息安全审计的必要性。

    面向业务的信息安全审计，正在被越来越多的行业和机构所重视，它代表着由传统信息安全向业务信息安全领域纵深发展的必然的趋势要求。