É recomendado para os sistemas legados da organização que já foram construídos e estão em operação.
Neste caso é feita uma auditoria nos sistemas avaliando a conformidade com a norma ISO 15.408 (Common Criteria).

O Common Criteria define 7 níveis de segurança. Na primeira fase da auditoria, o sistema é avaliado para definir qual o nível mais adequado às suas características. Uma vez definido este nível, é elaborado um documento de especificação de segurança para o sistema. Esta especificação define todos os requisitos de segurança que o sistema deve atender.

Numa segunda fase, um plano de auditoria é elaborado com base nos requisitos descritos na especificação. Este plano descreve em detalhes todas as ações que devem ser tomadas para verificar a conformidade de cada um dos requisitos de segurança especificados na fase anterior. Com base neste plano, a auditoria é realizada. Os resultados encontrados são descritos no relatório de auditoria apresentado ao final do trabalho. Os itens em não conformidade são classificados dentre 5 níveis de severidade de forma a orientar a organização da prioridade de resolver os problemas encontrados. Para estes itens, são geradas recomendações do que deve ser feito para que o sistema fique em conformidade.