Ilmu yang berhubungan dengan pengumpulan fakta dan bukti pelanggaran keamanan sistem informasi serta validasinya menurut metode yang digunakan (misalnya metode sebab-akibat)
IT Forensik adalah penggunaan sekumpulan prosedur untuk melakukan pengujian secara menyeluruh suatu sistem komputer dengan mempergunakan software dan tool untuk memelihara barang bukti tindakan kriminal. IT forensik dapat menjelaskan keadaan artefak digital terkini. Artefak Digital dapat mencakup sistem komputer, media penyimpanan (seperti hard disk atau CD-ROM, dokumen elektronik (misalnya pesan email atau gambar JPEG) atau bahkan paket-paket yang secara berurutan bergerak melalui jaringan. Bidang IT Forensik juga memiliki cabang-cabang di dalamnya seperti firewall forensik, forensik jaringan , database forensik, dan forensik perangkat mobile.
Tujuan IT Forensik untuk mendapatkan fakta-fakta obyektif dari sebuah insiden pelanggaran keamanan sistem informasi.
Mengamankan dan menganalisa bukti digital. Dari data yang diperoleh melalui survey oleh FBI dan The Computer Security Institute, pada tahun 1999 mengatakan bahwa 51% responden mengakui bahwa mereka telah menderita kerugian terutama dalam bidang finansial akibat kejahatan komputer. Kejahatan Komputer dibagi menjadi dua, yaitu :
Komputer fraud : kejahatan atau pelanggaran dari segi sistem organisasi komputer. Komputer crime: kegiatan berbahaya dimana menggunakan media komputer dalam melakukan pelanggaran hukum. Prodesur IT Forensik
Prosedur forensik yang umum digunakan, antara lain :Membuat copies dari keseluruhan log data, file, dan lain-lain yang dianggap perlu pada suatu media yang terpisah. Membuat copies secara matematis.Dokumentasi yang baik dari segala sesuatu yang dikerjakan.
Bukti yang digunakan dalam IT Forensics berupa :Harddisk.Floopy disk atau media lain yang bersifat removeable.Network system. Metode/prosedure IT Forensik yang umum digunakan pada komputer ada dua jenis yaitu : Search dan seizure : dimulai dari perumusan suatu rencana. Identifikasi dengan penelitian permasalahan. Membuat hipotesis. Uji hipotesa secara konsep dan empiris. Evaluasi hipotesa berdasarkan hasil pengujian dan pengujian ulang jika hipotesa tersebut jauh dari apa yang diharapkan. Evaluasi hipotesa terhadap dampak yang lain jika hipotesa tersebut dapat diterima. Pencarian informasi (discovery information). Ini dilakukan oleh investigator dan merupakan pencarian bukti tambahan dengan mengendalikan saksi secara langsung maupun tidak langsung. Membuat copies dari keseluruhan log data, files, dan lain-lain yang dianggap perlu pada media terpisah. Membuat fingerprint dari data secara matematis. Membuat fingerprint dari copies secara otomatis. Membuat suatu hashes masterlist Dokumentasi yang baik dari segala sesuatu yang telah dikerjakan.