Перш ніж приступити власне до аудиту інформаційної безпеки, аудиторам (зокрема, якщо проводиться зовнішній аудит) необхідно ознайомитися зі структурою підприємства, його функціями, завданнями та основними бізнес-процесами, а також з наявними інформаційними системами (їх складом, функціональністю, процедурами використання та роллю на підприємстві)