Dla sprawnego przebiegu oceny niezbędne jest jej odpowiednie zaplanowanie. Plan powinien obejmować określenie celu oraz zakresu przeglądu. Należy przy tym udokumentować wszelkie ograniczenia zakresu wynikające np. z wyłączenia któregoś zagadnienia lub obszaru z oceny. Kolejnym etapem przeglądu jest jego przeprowadzenie (o czym dalej) i udokumentowanie jego wyników. Dokumentacja wyników jest niezwykle istotna ze względu na to, że stanowi ona podstawę do formułowania wniosków oraz rekomendacji zmian i usprawnień.

Przegląd powinien zakończyć się sporządzeniem raportu. Raport taki powinien opierać się na rzetelnej i wiarygodnej dokumentacji z przeglądu, a każda teza zawarta w raporcie powinna być podparta zgromadzonymi obserwacjami faktycznymi. Nadrzędną zasadą przy opracowywaniu raportu z przeglądu jest zawarcie w nim opisu zaobserwowanego stanu faktycznego, opisu ryzyk związanych z zaobserwowanym stanem oraz ewentualnych rekomendacji zmian i usprawnień. Raport sporządzany przez audytora powinien dodatkowo obejmować szereg innych informacji, które określone są w standardach audytowania systemów IT (Standard S7 - Raportowanie).

Wbrew przekonaniu, najwięcej trudności może nastręczać odpowiednie zaplanowanie i wykonanie przeglądu. Często wydaje się, że wiadomo co i po co audytować, ale w praktyce cel i zakres przeglądu powinny być zdefiniowane właściwie (aby dokonać oceny odpowiednich obszarów i zagadnień) i kompletnie (aby nie pominąć istotnych aspektów). Dodatkowo powinny one uwzględniać obszary, w których nieprawidłowości mogą być najbardziej dotkliwe.

Wykonanie przeglądu polega na ocenie konstrukcji mechanizmów kontrolnych pod kątem tego, czy zapewniają one zrealizowanie celów kontrolnych oraz ocenie skuteczności operacyjnej tych mechanizmów kontrolnych. Ocena konstrukcji mechanizmów kontrolnych powinna odpowiadać na pytanie, czy założona organizacja procesu jest prawidłowa i czy proces tak skonstruowany będzie skutecznie realizował założony cel. Ocena skuteczności operacyjnej natomiast ma na celu weryfikację, czy proces w rzeczywistości zachodzi zgodnie z założeniami. W przypadku stwierdzenia nieprawidłowej konstrukcji procesu i mechanizmów kontrolnych nie wykonuje się testów skuteczności operacyjnej.

Podsumowanie

Zarządzanie bezpieczeństwem informacji jest procesem, który nabiera coraz większego znaczenia w ochronie interesów firm wykorzystujących technologię w biznesie. Nieuchronnie zbliżamy się do punktu, w którym zaniedbania w tym zakresie będą przynosić trudne do zaakceptowania skutki. Dlatego też temat bezpieczeństwa informacji należy traktować podobnie do innych procesów biznesowych. Audytujemy procesy sprzedaży i zakupów, bo potencjalne nieprawidłowości w tych procesach są namacalne i dotkliwe. Jednocześnie w obszarze technologii polegamy na administratorach systemów i ich "tajemnej wiedzy", nie uświadamiając sobie zagrożeń wynikających z potencjalnych nieprawidłowości.