IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Gemäss dem OSSTMM erhalten die Tester bei einem Double-Blind-Test vorweg keinerlei Informationen über die zu prüfenden Systeme und die Administratoren werden nicht über den anstehenden Audit informiert. Der Double-Blind-Testtyp ist der realistischste Ansatz aber nicht der effizienteste.