Инициативный аудит соответствия ИТ-систем, проводится либо по запросу руководства организации, либо по представлению надзорных органов (ФСТЭК, ФСБ РФ). Методика проведения этого вида аудита сходна с методикой аудита производительности, но имеет дополнительный и значимый массив определений состояния информационной и кибербезопасности. Имеет целью выражение мнения независимого проверяющего о достоверности информации о состоянии ИТ в организации, декларируемых информационных систем и компонентов ИТ-инфраструктуры в соответствии с правилами безопасного использования. Основное отличие аудита соответствия от аудита производительности состоит в том, что первый проводится в обязательном порядке, и зависит от действующих нормативно-правовых актов и регламентирующих документов, второй - по желанию организации-заказчика услуг ИТ-аудита.
Существует 3 основных вида отчётности соответствия ИТ-систем:
- Отчет о соответствии ИТ-инфраструктуры требованиям производительности в зависимости от масштаба организации, количества сотрудников-пользователей информационных систем и количества АРМ;
- Отчёт о соответствии и целевом использовании средств финансирования на развитие ИТ-инфраструктуры, в зависимости от задач деятельности организации;
- Отчёт об инцидентах и рисках в области информационной и кибербезопасности в организации.