Audyt technologiczny polega na testach penetracyjnych elementów infrastruktury informatycznej. Prowadzony jest w oparciu o różne metodyki. Audyt „blackbox” zakłada brak znajomości infrastruktury przez audytorów, stosowany jest najczęściej przy audycie styku z siecią publiczną oraz aplikacji internetowych. Audyt „greybox” wykorzystywany jest do badania sieci lokalnej. Audytorzy mają do niej dostęp, ale nie posiadają o niej żadnej wiedzy. Audyt „whitebox” to audyt konfiguracji systemów i urządzeń sieciowych. Audytorzy mają administracyjny dostęp do systemów i urządzeń, audyt realizowany jest pod nadzorem klienta.

Audyt proceduralny polega na przeprowadzeniu oceny bezpieczeństwa wewnątrz organizacji skoncentrowanej na czynniku ludzkim, prowadzona jest ocena bezpieczeństwa organizacyjnego oraz weryfikacja praktyk i procedur zarówno formalnych jak i nieformalnych. W wyniku tak przeprowadzonego audytu opisany i zweryfikowany stan faktyczny skonfrontowany zostanie z najlepszymi praktykami w zakresie administracji oraz zaleceniami uznanych standardów w zakresie bezpieczeństwa IT i ładu informatycznego takich jak norma PN-ISO/IEC 27001:2007, PN-ISO/IEC 17799:2007, CobiT 4.1, ITIL, itd.

Audyt socjotechniczny koncentruje się na ocenie świadomości użytkowników w zakresie bezpieczeństwa informacji. Ukazuje jak zachowują się pracownicy wobec prób wyłudzenia informacji i ataków specjalistów od socjotechniki. Podczas audytu wykorzystywane są przeróżne techniki manipulacji. Cele audytu uzgadniane są wraz z klientem przed przystąpieniem do działań.

Audyt bezpieczeństwa informacji polega na ocenie poziomu bezpieczeństwa systemów informatycznych wykorzystywanych w przedsiębiorstwie. Obejmuje przegląd polityk i procedur pod kątem zgodności z najlepszymi praktykami oraz normą PN-ISO/IEC 27001:2007.