Încep prin a repeta lucruri scrise sau spuse de multe ori pînă acum și binecunoscute de majoritatea actorilor: auditul sistemelor informaționale inclusiv auditul securității acestor sisteme nu se referă la completarea unor liste de verificare sau generarea de documente pentru a trece inspecțiile statului sau auditurile de la terți. Auditul securității informațiilor este vehiculul principal utilizat pentru a verifica dacă sunt implementate controalele de securitate, inclusiv cele care asigură protecția vieții private, controale selectate în baza unor cerințe legale sau evaluări ale riscurilor și atingerea scopurilor și obiectivelor declarate.

La fel ca în cazul auditului financiar și auditul sistemelor informaționale/securității se bazează pe o serie de principii. Respectarea acestor principii este o condiție prealabilă pentru a furniza constatări/concluzii de audit care sunt relevante și suficiente și pentru a permite auditorilor, lucrând independent unul de celălalt, să ajungă la concluzii similare în circumstanțe similare.

Pentru a spori motivele de încredere că în cadrul unui sistem informatic controalele sînt efective și eficiente,  evaluarea lor ar trebui efectuată pe tot parcursul ciclului de viață al dezvoltării unui sistem informatic. Nu se întîmplă așa ceva prea des din motive ce țin de resursele limitate ce pot fi implicate în atingerea unui astfel de scop.

Evaluarea unui control se realizează cu ajutorul unei ”proceduri de evaluare”.

O procedură de evaluare a unui control constă dintr-un set de obiective de evaluare , fiecare avînd asociat un set de metode potenţiale de evaluare şi obiecte ce trebuie evaluate. 

Un obiectiv de evaluare include una sau mai multe cerințe legate de controlul în curs de revizuire.

Cerințele sunt legate de conținutul controlului (funcționalitatea controlului) pentru a asigura trasabilitatea rezultatelor evaluării. Aplicarea unei proceduri de evaluare asupra unui control produce constatările evaluării.

Constatările reflectă sau sunt utilizate ulterior pentru a ajuta la determinarea eficacității globale a controlului și de asemenea ajută un decident să facă o evaluare informată, bazată pe riscuri, cu privire la păstrarea sistemului în mediul de test sau lansarea sistemului în mediul operațional.

Obiectele de evaluat identifică elementele specifice care sunt evaluate ca parte a unui control dat și includ specificații, mecanisme , activități și indivizi.

Specificațiile sunt artefactele bazate pe documente (de exemplu, politici, proceduri, planuri, cerințe de securitate și confidențialitate a sistemului, specificații funcționale, proiecte arhitecturale) asociate unui sistem sau control comun. 

Mecanismele sunt măsurile de protecție și contramăsurile specifice hardware, software sau firmware utilizate în cadrul unui sistem sau control comun.

Activitățile sunt acțiunile specifice legate de protecție care susțin un sistem sau un control și care implică oameni (de exemplu, efectuarea de operațiuni de backup a sistemului, monitorizarea traficului în rețea, executarea unui plan de urgență)

Indivizii sau grupurile de indivizi sunt persoane care aplică specificațiile, mecanismele sau activitățile descrise mai sus.

Metodele de evaluare a unui control definesc natura acțiunilor auditorului și includ examinarea, interviul și testarea.

În cazul examinării, obiectele de evaluat vor include:

• Specificații (de exemplu, politici, planuri, proceduri, cerințe de sistem, proiecte)
• Mecanisme (de exemplu, funcționalitate implementată în hardware, software, firmware)
• Activități (de exemplu, operațiuni de sistem, administrare, management, exerciții).

În cazul interviului, obiectele de evaluat vor include indivizi sau grupuri de indivizi.

În cazul testării, obiectele de evaluat vor fi:

• Mecanisme (de exemplu, hardware, software, firmware)
• Activități (de exemplu, operațiuni de sistem, administrare, management, exerciții)

Obiectivele de evaluare sunt atinse prin aplicarea metodelor de evaluare descrise anterior asupra obiectelor de evaluat selectate și compilarea sau producerea probelor necesare pentru a concluziona asupra fiecărui obiectiv de evaluare. 

Constatările auditorului sunt o raportare imparțială, faptică, a ceea ce s-a constatat cu privire la controlul evaluat. Pentru fiecare constatare care este o abatere de la starea planificată/așteptată a controlului, auditorii indică ce părți ale controlului sunt afectate de constatare (adică, aspecte ale controlului care au fost considerate neîndeplinite sau care nu au putut fi evaluate) și descriu modul în care starea reală a controlului diferă de starea planificată sau așteptată/dorită. Totodată în raportul de audit ar trebuie notat potenţialul de compromitere la adresa confidenţialităţii, integrităţii, disponibilității sau protecției datelor personale datorat nefuncționării controlului.

DORA prevede că entitățile financiare ”dispun de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC, ca parte a sistemului lor general de gestionare a riscurilor, care le permite să abordeze riscurile TIC în mod rapid, eficient și cuprinzător și să asigure un nivel ridicat de reziliență operațională digitală.” Acest cadru de gestionare a riscurilor ”este supus auditului intern de către auditori în mod regulat în conformitate cu planul de audit al entităților financiare. Auditorii respectivi dețin suficiente cunoștințe, competențe și expertiză în ceea ce privește riscurile TIC, precum și o independență adecvată.„

NIS2 prevede că ”entitățile esențiale și entitățile importante iau măsuri tehnice, operaționale și organizatorice adecvate și proporționale pentru a gestiona riscurile la adresa securității rețelelor și a sistemelor informatice pe care entitățile respective le utilizează pentru operațiunile lor sau pentru a furniza servicii și pentru a preveni sau reduce la minimum impactul incidentelor asupra beneficiarilor serviciilor lor și asupra altor servicii.” Entitățile esențiale vor fi supuse ”unor audituri de securitate periodice și specifice efectuate de un organism independent sau de o autoritate competentă”