網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求

Date19 8 月 2019

網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求針對(duì)審計(jì)對(duì)象調(diào)研、審計(jì)實(shí)施方案編制、審計(jì)取證與評(píng)價(jià)、
審計(jì)報(bào)告、跟蹤審計(jì)和審計(jì)質(zhì)量控制等六個(gè)過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級(jí)要求如
下：

G3 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)評(píng)價(jià)要求
組織申報(bào)一級(jí)資質(zhì)，除滿足二級(jí)能力要求外，還應(yīng)滿足以下要求：
申請(qǐng)一級(jí)資質(zhì)認(rèn)證的單位，至少完成10個(gè)以上不同行業(yè)（如金融、電信、能源、醫(yī)療、公共部
門等）完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目，項(xiàng)目審計(jì)目標(biāo)應(yīng)覆蓋至少合規(guī)、安全、績效等；具備確定審計(jì)目
標(biāo)和范圍、確定審計(jì)依據(jù)的能力；具備實(shí)施現(xiàn)場(chǎng)審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力；具備
提出審計(jì)建議的能力。
G3.1 審計(jì)對(duì)象識(shí)別
G3.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和管理審計(jì)對(duì)象庫。
b) 具備為被審計(jì)方提供審計(jì)對(duì)象管理工具的能力。
G3.1.2 了解被審計(jì)方組織管理和IT管理情況
應(yīng)建立審計(jì)調(diào)研報(bào)告分級(jí)復(fù)核制度，明確規(guī)定各級(jí)復(fù)核人員的要求和責(zé)任。
G3.2 編制審計(jì)實(shí)施方案
G3.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
無
G3.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)常用審計(jì)依據(jù)庫，并確保審計(jì)依據(jù)是當(dāng)前適用版本。
b) 具備為被審計(jì)方提供審計(jì)依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護(hù)審計(jì)范圍、審計(jì)對(duì)象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方
法）、所需資源的對(duì)應(yīng)關(guān)系。
b) 具備為被審計(jì)方提供審計(jì)范圍、審計(jì)對(duì)象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方法）、所需資
源等對(duì)應(yīng)關(guān)系管理工具的能力。
G3.2.4 組建審計(jì)組
對(duì)于特定行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全審計(jì)，應(yīng)具備聘請(qǐng)外部行業(yè)技術(shù)專家作為審計(jì)組成員。
G3.3 審計(jì)取證與評(píng)價(jià)
G3.3.1 審計(jì)取證
a) 應(yīng)至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運(yùn)行日志檢查類等類型的
審計(jì)工具取證的能力。
b) 利用審計(jì)工具取證時(shí)，應(yīng)采取措施確保對(duì)審計(jì)對(duì)象的風(fēng)險(xiǎn)最小化。
G3.3.2 編制審計(jì)工作底稿
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來歸檔和保管審計(jì)工作底稿。
b) 具備為被審計(jì)方提供審計(jì)工作底稿管理工具的能力。
G3.3.3 審計(jì)評(píng)價(jià)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)發(fā)現(xiàn)列表。
b) 具備為被審計(jì)方提供審計(jì)發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計(jì)報(bào)告
G3.4.1 一般原則
應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計(jì)報(bào)告。
G3.4.2 審計(jì)報(bào)告的內(nèi)容
在審計(jì)的任何階段，如果遇到或發(fā)現(xiàn)與審計(jì)目標(biāo)和內(nèi)容有關(guān)的重大問題，如違法違規(guī)問題、重
大安全風(fēng)險(xiǎn)等，應(yīng)出具審計(jì)專報(bào)。
G3.4.3 交付審計(jì)報(bào)告
具備為被審計(jì)方提供審計(jì)報(bào)告管理工具的能力。
G3.5 跟蹤審計(jì)
G3.5.1 一般原則
無
G3.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G3.4審計(jì)報(bào)告。
G3.6 審計(jì)質(zhì)量控制
G3.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)監(jiān)督網(wǎng)絡(luò)安全審計(jì)實(shí)施的過程。
b) 應(yīng)定期開展網(wǎng)絡(luò)安全審計(jì)質(zhì)量檢查。

安信達(dá)咨詢可為您提供專業(yè)周到的信息安全服務(wù)資質(zhì)、CCRC資質(zhì)、網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)一級(jí)申請(qǐng)咨詢與代辦服務(wù)，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。