Во-первых, вам следует ознакомиться с письменными документами по информационной безопасности, которые присутствуют в организации. Какие конкретно документы должны входить в этот список, перечислено в главе 27, однако, общий совет может быть таким.

Во-вторых, ознакомьтесь с уровнем знаний специалистов информационной безопасности (или хотя бы руководителя службы), изучив соответствующие сертификаты (с учетом их срока действия), а также историю прохождения обучения и перспективный план.

Далее, вам необходимо узнать, какие операционные системы используются в организации и какие основные приложения применяются для критически значимых производственных направлений. После этого вам необходимо получить (по возможности независимо от специалистов самой организации) проверочные анкеты по безопасности (англ. security checklist) для каждой операционной системы и приложения (большинство наиболее свежих вариантов этих анкет всегда доступно в Интернете).