IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Bei einem Black-Box-Test erhalten die Tester vorweg keinerlei Informationen über die zu prüfenden Systeme. Ziel ist es, aus der Perspektive eines Hackers, der von Null beginnt, Sicherheitslücken aufzuspüren und auszunutzen. Diese Sichtweise entspricht der Definition des BSI (M 5.150). Das OSSTMM setzt im Gegensatz dazu den Black-Box-Text einem «Double Blind» Test gleich.