Das Auditor-Testat "Einstiegsstufe" erhalten Firmen und Behörden, wenn sie die unabdingbaren Standardsicherheitsmaßnahmen des IT-Grundschutzes umgesetzt haben. Das sind alle Vorgaben der Stufe A im Handbuch.

Das Auditor-Testat "Aufbaustufe" erhalten sie nach Umsetzung der wichtigsten Standardsicherheitsmaßnahmen. Das sind alle Maßnahmen der Stufen A und B des Handbuchs.

Für beide Qualifizierungsstufen ist eine Prüfung durch einen externen Auditor erforderlich. Nach der Erstellung eines Audit-Reports erteilt ein vom BSI lizensierter Auditor das entsprechende Testat.

Die Zertifizierungsstelle prüft die Audit-Reporte von Testaten nicht, kann sie sich aber für Rückfragen vorlegen lassen. Die Testate sind zwei Jahre gültig und können, weil sie Vorstufen zum Zertifikat sind, nicht verlängert werden. Eine Re-Qualifizierung ist nur auf einer höheren Stufe möglich.

Grundlage für die Vergabe eines IT-Grundschutz-Zertifikats ist ebenfalls die Durchführung eines Audits durch einen externen, beim BSI lizenzierten Auditor. Der Audit-Report wird der Zertifizierungsstelle vorgelegt, die über die Vergabe des IT-Grundschutz-Zertifikats entscheidet.