А-а-а! Так Вы сами собираетесь этим заниматься, батенька! Тогда стандарты в зубы и вперед за разработку методик, потому как проверка текущего состояния все равно от проверки на соответствие стандартам не отличается, а просто так, полностью о конкретных инструментах никто не расскажет, IMHO - это самое ценное , не одним днем нарабатывается... Часть в одном месте найдете, часть в другом, так и создадите, то что нужно для ваших целей.

Аудит текущего состояния можно рассматривать как своеобразный пресейл, если у компании уже есть имя на рынке.


Да, методики - это самое ИМХО сложное.

Спасибо.

Нормальный такой пресейл за $ Заказчика

В таком случае аудит закажут у тебя, а решения купят у других

Я практически не работаю на Российском (пост-союзном) рынке. Но могу сказать как обстоит дело в Европе и Штатах. Аудит на ISO требуют практически только компании которых это нужно по партнёрским соглашениям - типа общий стандарт корпорации или фирмы типа банков, которые могут записать это как плюс перед крупными клиентами. Такой аудит делают с привлечением специальных сканеров с уже подготовленными политиками под ISO  для каждой операционки или крупной аппликации типа Oracle или IIS. Результат подробный отчёт с указанием типа ошибки причины и уровня угрозы, желательно так же рекомендации по устранению.
Второй путь, более распостранёный, это так называемый, пенитрашион тест, то есть проверка взломом. По желанию заказчика проводится трёх типов: black box, grey box, white box - т.е. не имея ни каких данных о системе, общие сведения (на уровне рядового пользователя), или полный доступ - тут практически не взлом а  поиск ошибок в конфигурации и теоретические просчёты. Есть компании которые заказывают полный пакет т.е. с исправлениями - полная вешалка, на чужих серверах, он-лаине и чтобы все осталась живо ...

__________________________________
Заходи http://riissk.blogspot.com/