सर्ट-इन ने कहा है कि उसके दिशानिर्देश क्षेत्रीय नियामकों को जरूरत पड़ने पर एक से ज्यादा बार ऑडिट अनिवार्य करने की अनुमति भी देते हैं। सार्वजनिक एवं निजी क्षेत्र की सभी कंपनियों के लिए जारी किए गए दिशानिर्देशों में सर्ट-इन ने कहा है कि साइबर सुरक्षा ऑडिट में जोखिम आधारित और डोमेन विशिष्ट नजरिया अपनाना चाहिए, जो ऑडिट की जा रही कंपनी के कारोबारी संदर्भ, खतरे के परिदृश्य और परिचालन प्राथमिकताओं के अनुरूप है। बिज़नेस स्टैंडर्ड ने नए दिशानिर्देशों की एक प्रति देखी है।

सभी क्षेत्रों में साइबर स्वच्छता मजबूत करने के मकसद से तैयार किए गए नए दिशानिर्देश बढ़ते डिजिटल खतरे और महत्त्वपूर्ण बुनियादी ढांचे को निशाना बनाकर उल्लंघन की बढ़ती संख्या के बीच जारी किए गए हैं। 

इलेक्ट्रॉनिकी और सूचना प्रौद्योगिकी मंत्रालय की डिजिटल जोखिम विश्लेषण मूल्यांकन और रोकथाम एजेंसी सर्ट-इन ने सिस्टम ओवरहॉल, प्रौद्योगिकी में बदलाव अथवा कॉन्फिग्रेशन एडजस्टमेंट, जिससे संवेदनशील डेटा और महत्त्वपूर्ण बुनियादी ढांचे प्रभावित हो सकते हैं, जैसे किसी भी बड़े बदलाव से पहले संभावित जोखिमों का मूल्यांकन करने, अनुपालन सुनिश्चित करने और क्रियान्वयन से पहले सुरक्षा जोखिमों को कम करने के लिए भी साइबर सुरक्षा ऑडिट अनिवार्य किया है। 

सर्ट-इन के दिशानिर्देशों के अनुसार, इन संगठनों को एक व्यापक जोखिम और भेद्यता मूल्यांकन, प्रवेश परीक्षण, नेटवर्क अवसंरचना और परिचालन ऑडिट, सूचना प्रौद्योगिकी सुरक्षा नीति समीक्षा, सूचना सुरक्षा परीक्षण, सोर्स कोड समीक्षा और प्रक्रियाओं, संचार, अनुप्रयोगों और मोबाइल अनुप्रयोगों का सुरक्षा परीक्षण भी करना होगा। इसके अलावा, संगठनों को न्यूनतम विशेषाधिकार के सिद्धांत को भी लागू करना होगा। इसके तहत यह सुनिश्चित करना होगा कि प्रत्येक कर्मचारी के पास अपनी विशिष्ट भूमिका या कार्य करने के लिए आवश्यक न्यूनतम स्तर की अनुमतियां हों। अपने कर्मचारियों को रिमोट एक्सेस देने वाली कंपनियां, दुरुपयोग से बचने के लिए संगठन के साइबर-अवसंरचना तक सभी पहुंच को टनल्ड, एन्क्रिप्टेड और लॉग करती हैं।