System Zarządzania Bezpieczeństwem Informacji jest weryfikowany względem wymagań stawianych przez Rekomendację „D” – rekomendacja Komisji Nadzoru Finansowego dotycząca zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego w bankach. Została wydana na podstawie art. 137 pkt 5 ustawy z dnia 29 sierpnia 1997 r. Prawo bankowe (Dz. U. z 2012 r. poz. 1376 j.t. z późn. zm.). Rekomendacja ma na celu wskazanie bankom oczekiwań nadzorczych dotyczących ostrożnego i stabilnego zarządzania obszarami technologii informacyjnej i bezpieczeństwa środowiska teleinformatycznego, w szczególności ryzykiem związanym z tym i obszarami.
W czasie audytu odbywa się analiza i ocena dokumentacji w zakresie bezpieczeństwa informacji, w tym polityk, procedur, strategii, planów, zarządzeń, instrukcji, umów oraz innych dokumentów, które zostaną udostępnione do analizy.
Powyższe dokumenty zostają sprawdzone pod kątem aktualności i poprawności względem siebie. Ponadto weryfikowane jest czy wprowadzone w organizacji dokumenty są przestrzegane zgodnie z zawartymi w nich zapisami. Może to oznaczać przegląd wymienionych w dokumentacji rejestrów, list, raportów jak np. dziennik administratora systemu, dziennik wykonywania kopii lub wyniki z przeglądów uprawnień.
Przeprowadzane są również wywiady z wytypowanymi pracownikami poszczególnych komórek organizacyjnych w zakresie niezbędnym do ustalenia poziomu stosowania wymagań bezpieczeństwa oraz z wewnętrznymi uregulowaniami, w celu ustalenia faktów niezawartych lub niewynikających wprost z dokumentacji, najczęściej z osobą odpowiedzialną za dział IT – ASI, również ABI, pracownikiem ds. ryzyka, kadrową oraz pracownikami obsługi klienta.
Prowadzone są obserwacje budynku, pomieszczeń, działań i zachowań pracowników oraz przeprowadzana jest analiza bezpieczeństwa informacji w systemach teleinformatycznych.
Wynikiem audytu Systemu Zarządzania Bezpieczeństwem Informacji jest raport zawierający wykryte niezgodności oraz dotyczące ich zalecenia naprawcze.