风险审计是检查并记录风险应对措施在处理已识别风险及其根源方面的有效性，以及风险管理过程的有效性。可以在日常的项目审查会中进行风险审计，也可单独召开风险审计会 议。在实施审计前，要明确定义审计的格式和目标。（掌握）(19下47)（22上48)

审计经验教训

哪些做得好哪些不好，哪些需要改进。

也称配置审核或者配置评价，包括功能配置审计和物理配置审计 ，分别用以验证当前配置项的一致性和完整性

1. 防止向用户提交不适合的产品，如交付了用户手册的不正确版本。
2. 发现不完善的实现，如开发出不符合初始规格说明或未按变更请求实施变更。
3. 找出各配置项间不匹配或不相容的现象。
4. 确认配置项己在所要求的质量控制审核之后纳入基线并入库保存。
5. 确认记录和文档保持着可追溯性。

功能配置审计是审计配置项的一致性（配置项的实际功效是否与其需求一致），验证：

1. 配置项的开发已圆满完成、
2. 配置项已达到、配置标识中规定的性能和功能特征、
3. 配置项的操作和支持文档己完成并且是符合要求的。(19上12)（了解）

物理配置审计是审计配置项的完整性（配置项的物理存在是否与预期一致)，验证：

1. 要交付的配置项是否存在、
2. 配置项中是否包含了所有必需的项目。

安全审计是指对主体访问和使用客体的情况进行记录和审查，以保证安全规则被正确执行，并帮助分析安全事故产生的原因。
安全审计是落实系统安全策略的重要机制和手段，通过安全审计识别与防止计算机网络系统内的攻击行为、追查计算机网络系统内的泄密行为，是信息安全保障系统中的一个重要组成部分。

根据GB/T11457-2006《软件工程术语》由某人、某小组或借助某种工具对源代码井行的独立的审查，以验证其是否符合软件设计文件和程序设计标准【18上】