NSMs tilsyn er risikobaserte og gjennomføres som systemrevisjoner understøttet av fagspesifikke undersøkelser. Det vil si at tilsynene gjennomføres for å undersøke styringssystemet for sikkerhet samtidig som det gjennomføres undersøkelser innen de forskjellige sikkerhetsfagene som informasjonssikkerhet, informasjonssystemsikkerhet, objekt- og infrastruktursikkerhet og personellsikkerhet.

Systemrevisjonen gjennomføres med grunnlag i standarden NS-EN ISO 19011, herunder med prinsippene for revisjon:

  • integritet – som grunnlag for profesjonell adferd
  • rettferdig presentasjon – forpliktelse til å rapportere sannferdig og nøyaktig
  • nødvendig faglig omtanke – anvendelsen av grundighet og dømmekraft ved revisjon konfidensialitet – sikring av informasjon
  • uavhengighet – grunnlaget for upartiskhet ved revisjonen og saklighet på revisjonskonklusjonene
  • bevisbasert fremgangsmåte – den fornuftige metoden for å komme frem til pålitelige og reproduserbare revisjonskonklusjoner i en systematisk revisjonsprosess.

Tilsyn gjennomføres normalt i form av stedlig tilsyn, men også andre tilsynsformer benyttes. Eksempler er dokumentundersøkelser (undersøkelser av innsendt dokumentasjon), tematilsyn (undersøkelser av avgrensede tilsyn ofte hos flere tilsynsobjekter) og tilsynssaker (i forbindelse med uønskede hendelser).