IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Das OSSTMM definiert Tandem als den Audittyp, bei dem die Tester vorweg Informationen über die zu prüfenden Systeme erhalten und auch die Administratoren über den anstehenden Audit informiert werden. Das OSSTMM verwendet auch den Begriff Crystal Box für diesen Testtyp.