IT Security Audits können anhand des Informationsgrads der Tester und Administratoren der zu testenden Systeme zum Zeitpunkt der Überprüfung charakterisiert werden. Der Grey-Box Testtyp ist der häufigste Ansatz für einen IT Security Audit. Die Tester erhalten vorweg teilweise Informationen über die zu prüfenden Systeme (z.B. die IP Adressen) und die Administratoren werden über den anstehenden Test informiert. Dieser Ansatz macht den Audit schneller, indem verhindert wird, dass wertvolle Projektzeit verschwendet wird.