網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求

Date17 8 月 2019

網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求針對(duì)審計(jì)對(duì)象調(diào)研、審計(jì)實(shí)施方案編制、審計(jì)取證與評(píng)價(jià)、
審計(jì)報(bào)告、跟蹤審計(jì)和審計(jì)質(zhì)量控制等六個(gè)過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級(jí)要求如
下：
G1 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)評(píng)價(jià)要求
申請(qǐng)三級(jí)資質(zhì)認(rèn)證的單位，具備確定審計(jì)目標(biāo)和范圍、確定審計(jì)依據(jù)的能力；具備實(shí)施現(xiàn)場(chǎng)審
計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力；具備提出審計(jì)建議的能力。
G1.1 審計(jì)對(duì)象識(shí)別
G1.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 編制業(yè)務(wù)情況調(diào)研表，并按照調(diào)研表收集有效信息。
b) 編制IT情況調(diào)研表，并按照調(diào)研表收集有效信息。
G1.1.2 了解被審計(jì)方組織管理和IT管理情況
a) 有效掌握被審計(jì)方組織結(jié)構(gòu)。
b) 有效掌握被審計(jì)方IT管理情況。
c) 了解被審計(jì)方IT支撐業(yè)務(wù)的對(duì)應(yīng)關(guān)系。
d) 對(duì)網(wǎng)絡(luò)安全審計(jì)的風(fēng)險(xiǎn)進(jìn)行初步評(píng)價(jià)。
G1.2 編制審計(jì)實(shí)施方案
G1.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
a) 合理確定每個(gè)具體網(wǎng)絡(luò)安全審計(jì)項(xiàng)目的目標(biāo)。
b) 網(wǎng)絡(luò)安全審計(jì)目標(biāo)可以包括信息化政策合規(guī)性、網(wǎng)絡(luò)安全建設(shè)和績(jī)效、政務(wù)系統(tǒng)整合和數(shù)
據(jù)共享、個(gè)人信息保護(hù)和數(shù)據(jù)保護(hù)、信息化項(xiàng)目建設(shè)績(jī)效與合規(guī)、信息系統(tǒng)有效性和可靠
性、信息系統(tǒng)應(yīng)急響應(yīng)能力等。
G1.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
a) 應(yīng)根據(jù)具體審計(jì)目標(biāo)，準(zhǔn)確確定審計(jì)依據(jù)。
b) 網(wǎng)絡(luò)安全審計(jì)依據(jù)可以是國(guó)家和政策部門法律法規(guī)、國(guó)際國(guó)內(nèi)相關(guān)標(biāo)準(zhǔn)、被審計(jì)方自己實(shí)
行的有關(guān)規(guī)章制度，以及審計(jì)委托方指定的其它審計(jì)依據(jù)。
G1.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
a) 應(yīng)根據(jù)審計(jì)目標(biāo)和審計(jì)依據(jù)，確定審計(jì)范圍。審計(jì)范圍應(yīng)包括組織機(jī)構(gòu)范圍、業(yè)務(wù)范圍、
IT基礎(chǔ)設(shè)施和應(yīng)用系統(tǒng)范圍等。
b) 應(yīng)根據(jù)審計(jì)依據(jù)和范圍，確定審計(jì)內(nèi)容。審計(jì)內(nèi)容應(yīng)劃分到具體審計(jì)事項(xiàng)，明確每一個(gè)審
計(jì)事項(xiàng)的審計(jì)要點(diǎn)和審計(jì)方法及所需資源。
c) 審計(jì)方法及所需資源應(yīng)包括審計(jì)人員、計(jì)劃時(shí)間安排、審計(jì)工具，以及可操作的審計(jì)方法
和流程。
G1.2.4 組建審計(jì)組
a) 應(yīng)考慮審計(jì)目標(biāo)、審計(jì)內(nèi)容、審計(jì)范圍等組建審計(jì)組。
b) 選擇審計(jì)組成員應(yīng)滿足通用評(píng)價(jià)要求的人員能力要求，同時(shí)應(yīng)滿足審計(jì)和網(wǎng)絡(luò)安全審計(jì)基
礎(chǔ)流程中的人員能力要求。
G1.3 審計(jì)取證與評(píng)價(jià)
G1.3.1 審計(jì)取證
a) 應(yīng)選擇適當(dāng)?shù)姆椒?，在現(xiàn)場(chǎng)審計(jì)或非現(xiàn)場(chǎng)審計(jì)活動(dòng)中獲取審計(jì)證據(jù)。審計(jì)取證的方法可以
是訪談、文件和記錄調(diào)閱、審計(jì)項(xiàng)檢查表、系統(tǒng)操作驗(yàn)證、審計(jì)工具、函證等。
b) 在獲取審計(jì)證據(jù)過程中，應(yīng)選擇適當(dāng)?shù)某闃臃绞健?br /> c) 應(yīng)采取必要措施，保證審計(jì)證據(jù)的相關(guān)性、可靠性和充分性
G1.3.2 編制審計(jì)工作底稿
a) 應(yīng)在審計(jì)取證完成后，編制審計(jì)工作底稿或?qū)徲?jì)取證單。
b) 審計(jì)工作底稿或?qū)徲?jì)取證單應(yīng)內(nèi)容完整、記錄清晰、結(jié)論明確，客觀地反映項(xiàng)目審計(jì)方案
的編制及實(shí)施情況，以及與形成審計(jì)結(jié)論、意見和建議有關(guān)的所有重要事項(xiàng)。
c) 審計(jì)工作底稿或?qū)徲?jì)取證單應(yīng)經(jīng)被審計(jì)方簽字確認(rèn)。
G1.3.3 審計(jì)評(píng)價(jià)
a) 應(yīng)對(duì)審計(jì)證據(jù)與審計(jì)依據(jù)的符合性進(jìn)行評(píng)價(jià)，以形成審計(jì)發(fā)現(xiàn)，審計(jì)發(fā)現(xiàn)應(yīng)明確審計(jì)項(xiàng)符
合或不符合審計(jì)依據(jù)的程度，該程度可以用不同級(jí)別來表示。
b) 網(wǎng)絡(luò)安全審計(jì)評(píng)價(jià)應(yīng)客觀、公正地反映被審計(jì)單位信息系統(tǒng)的真實(shí)情況。
G1.4 審計(jì)報(bào)告
G1.4.1 一般原則
a) 應(yīng)實(shí)事求是地反映被審計(jì)事項(xiàng)的事實(shí)。
b) 應(yīng)要素齊全、格式規(guī)范，完整反映審計(jì)中發(fā)現(xiàn)的重要問題。
c) 充分考慮審計(jì)項(xiàng)目的重要性和風(fēng)險(xiǎn)水平，對(duì)于重要事項(xiàng)應(yīng)當(dāng)重點(diǎn)說明。
d) 提出可行的改進(jìn)建議，以促進(jìn)被審計(jì)方信息系統(tǒng)有效支撐其業(yè)務(wù)的目標(biāo)。
G1.4.2 審計(jì)報(bào)告的內(nèi)容
a) 審計(jì)報(bào)告應(yīng)完整、準(zhǔn)確地反映審計(jì)結(jié)果，內(nèi)容應(yīng)包括審計(jì)概況、審計(jì)依據(jù)、審計(jì)發(fā)現(xiàn)、審
計(jì)結(jié)論、審計(jì)意見等。
b) 需要時(shí)，審計(jì)報(bào)告可以增加附件。附件內(nèi)容可包括針對(duì)審計(jì)過程、審計(jì)中發(fā)現(xiàn)問題所作出
的具體說明，以及被審計(jì)單位的反饋意見等內(nèi)容。
G1.4.3 交付審計(jì)報(bào)告
a) 應(yīng)建立審計(jì)報(bào)告的批準(zhǔn)和交付程序，保留交付記錄。
b) 應(yīng)在審計(jì)委托方或被審計(jì)方約定的時(shí)間內(nèi)交付，如延遲交付，應(yīng)向?qū)徲?jì)委托方和被審計(jì)方
說明理由。
G1.5 跟蹤審計(jì)
G1.5.1 一般原則
a) 應(yīng)安排對(duì)審計(jì)發(fā)現(xiàn)問題的整改措施和整改措施的效果進(jìn)行跟蹤審計(jì)。
b) 應(yīng)與被審計(jì)方約定在規(guī)定的時(shí)間內(nèi)實(shí)施跟蹤審計(jì)，一般自審計(jì)報(bào)告交付起不超過6個(gè)月。
G1.5.2 跟蹤審計(jì)報(bào)告
a) 應(yīng)當(dāng)根據(jù)跟蹤審計(jì)的實(shí)施過程和結(jié)果編制跟蹤審計(jì)報(bào)告。
b) 跟蹤審計(jì)報(bào)告的管理參照G1.4審計(jì)報(bào)告。
G1.6 審計(jì)質(zhì)量控制
G1.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)建立審計(jì)質(zhì)量控制制度，以確保遵守審計(jì)相關(guān)法規(guī)和準(zhǔn)則，作出準(zhǔn)確的審計(jì)結(jié)論。
b) 審計(jì)質(zhì)量控制制度應(yīng)覆蓋審計(jì)質(zhì)量責(zé)任、審計(jì)職業(yè)道德、審計(jì)人力資源、審計(jì)業(yè)務(wù)執(zhí)行、
審計(jì)質(zhì)量監(jiān)控等。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)三級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。