本发明涉及信息监测技术领域，尤其涉及基于穿行测试技术的信息安全审计实现方法及系统。基于穿行测试技术的信息安全审计实现方法，包括：识别待审计的业务敏感信息及所述业务敏感信息的访问权限；基于所述访问权限追踪所述业务敏感信息在一个或多个信息系统中的流转路径；依据所述追踪的结果，审计分析具有访问权限的系统在对所述业务敏感信息的处理过程中存在的风险漏洞；基于所述风险漏洞的审计分析结果，获取所述业务敏感信息的风险值。本发明的基于穿行测试技术的信息安全审计实现方法及系统，能够实现对敏感信息在多个信息系统的全生命周期流转过程中存在风险的监测。