Un tel audit n’a pas pour objet de donner une certification vis-à-vis de telle ou telle norme, l’objectif est d’évaluer l’état de l’organisation de la sécurité des systèmes d’information de votre sous-traitant vis-à-vis de référentiels techniques et réglementaires mais également du contrat qui vous lie. En revanche, l’audit doit montrer, à l’aide d’éléments de preuves, en quoi la réalité opérationnelle correspond à ce qui a été signé entre vous et votre sous-traitant et que cela répond pleinement à vos besoins en sécurité, y compris sur les aspects de protection des données.
Après une analyse documentaire (Politique de Sécurité du Système d’Information, Plan d’Assurance Qualité , Plan d’Assurance Sécurité, Plan de sauvegarde, etc.), des interviews sur site du sous-traitant sont menés.