網(wǎng)絡安全審計服務資質(zhì)三級評價要求針對審計對象調(diào)研、審計實施方案編制、審計取證與評價、
審計報告、跟蹤審計和審計質(zhì)量控制等六個過程進行，項目實施過程應形成文件，具體分級要求如
下：
G1 網(wǎng)絡安全審計服務資質(zhì)三級評價要求
申請三級資質(zhì)認證的單位，具備確定審計目標和范圍、確定審計依據(jù)的能力；具備實施現(xiàn)場審
計、報告審計發(fā)現(xiàn)和形成審計結論的能力；具備提出審計建議的能力。
G1.1 審計對象識別
G1.1.1 了解被審計方業(yè)務和IT情況
a) 編制業(yè)務情況調(diào)研表，并按照調(diào)研表收集有效信息。
b) 編制IT情況調(diào)研表，并按照調(diào)研表收集有效信息。
G1.1.2 了解被審計方組織管理和IT管理情況
a) 有效掌握被審計方組織結構。
b) 有效掌握被審計方IT管理情況。
c) 了解被審計方IT支撐業(yè)務的對應關系。
d) 對網(wǎng)絡安全審計的風險進行初步評價。
G1.2 編制審計實施方案
G1.2.1 確定網(wǎng)絡安全審計目標
a) 合理確定每個具體網(wǎng)絡安全審計項目的目標。
b) 網(wǎng)絡安全審計目標可以包括信息化政策合規(guī)性、網(wǎng)絡安全建設和績效、政務系統(tǒng)整合和數(shù)
據(jù)共享、個人信息保護和數(shù)據(jù)保護、信息化項目建設績效與合規(guī)、信息系統(tǒng)有效性和可靠
性、信息系統(tǒng)應急響應能力等。
G1.2.2 確定網(wǎng)絡安全審計依據(jù)
a) 應根據(jù)具體審計目標，準確確定審計依據(jù)。
b) 網(wǎng)絡安全審計依據(jù)可以是國家和政策部門法律法規(guī)、國際國內(nèi)相關標準、被審計方自己實
行的有關規(guī)章制度，以及審計委托方指定的其它審計依據(jù)。
G1.2.3 確定網(wǎng)絡安全審計范圍和審計內(nèi)容
a) 應根據(jù)審計目標和審計依據(jù)，確定審計范圍。審計范圍應包括組織機構范圍、業(yè)務范圍、
IT基礎設施和應用系統(tǒng)范圍等。
b) 應根據(jù)審計依據(jù)和范圍，確定審計內(nèi)容。審計內(nèi)容應劃分到具體審計事項，明確每一個審
計事項的審計要點和審計方法及所需資源。
c) 審計方法及所需資源應包括審計人員、計劃時間安排、審計工具，以及可操作的審計方法
和流程。
G1.2.4 組建審計組
a) 應考慮審計目標、審計內(nèi)容、審計范圍等組建審計組。
b) 選擇審計組成員應滿足通用評價要求的人員能力要求，同時應滿足審計和網(wǎng)絡安全審計基
礎流程中的人員能力要求。
G1.3 審計取證與評價
G1.3.1 審計取證
a) 應選擇適當?shù)姆椒?，在現(xiàn)場審計或非現(xiàn)場審計活動中獲取審計證據(jù)。審計取證的方法可以
是訪談、文件和記錄調(diào)閱、審計項檢查表、系統(tǒng)操作驗證、審計工具、函證等。
b) 在獲取審計證據(jù)過程中，應選擇適當?shù)某闃臃绞健?br /> c) 應采取必要措施，保證審計證據(jù)的相關性、可靠性和充分性
G1.3.2 編制審計工作底稿
a) 應在審計取證完成后，編制審計工作底稿或?qū)徲嬋∽C單。
b) 審計工作底稿或?qū)徲嬋∽C單應內(nèi)容完整、記錄清晰、結論明確，客觀地反映項目審計方案
的編制及實施情況，以及與形成審計結論、意見和建議有關的所有重要事項。
c) 審計工作底稿或?qū)徲嬋∽C單應經(jīng)被審計方簽字確認。
G1.3.3 審計評價
a) 應對審計證據(jù)與審計依據(jù)的符合性進行評價，以形成審計發(fā)現(xiàn)，審計發(fā)現(xiàn)應明確審計項符
合或不符合審計依據(jù)的程度，該程度可以用不同級別來表示。
b) 網(wǎng)絡安全審計評價應客觀、公正地反映被審計單位信息系統(tǒng)的真實情況。
G1.4 審計報告
G1.4.1 一般原則
a) 應實事求是地反映被審計事項的事實。
b) 應要素齊全、格式規(guī)范，完整反映審計中發(fā)現(xiàn)的重要問題。
c) 充分考慮審計項目的重要性和風險水平，對于重要事項應當重點說明。
d) 提出可行的改進建議，以促進被審計方信息系統(tǒng)有效支撐其業(yè)務的目標。
G1.4.2 審計報告的內(nèi)容
a) 審計報告應完整、準確地反映審計結果，內(nèi)容應包括審計概況、審計依據(jù)、審計發(fā)現(xiàn)、審
計結論、審計意見等。
b) 需要時，審計報告可以增加附件。附件內(nèi)容可包括針對審計過程、審計中發(fā)現(xiàn)問題所作出
的具體說明，以及被審計單位的反饋意見等內(nèi)容。
G1.4.3 交付審計報告
a) 應建立審計報告的批準和交付程序，保留交付記錄。
b) 應在審計委托方或被審計方約定的時間內(nèi)交付，如延遲交付，應向?qū)徲嬑蟹胶捅粚徲嫹?br /> 說明理由。
G1.5 跟蹤審計
G1.5.1 一般原則
a) 應安排對審計發(fā)現(xiàn)問題的整改措施和整改措施的效果進行跟蹤審計。
b) 應與被審計方約定在規(guī)定的時間內(nèi)實施跟蹤審計，一般自審計報告交付起不超過6個月。
G1.5.2 跟蹤審計報告
a) 應當根據(jù)跟蹤審計的實施過程和結果編制跟蹤審計報告。
b) 跟蹤審計報告的管理參照G1.4審計報告。
G1.6 審計質(zhì)量控制
G1.6.1 審計質(zhì)量控制制度
a) 應建立審計質(zhì)量控制制度，以確保遵守審計相關法規(guī)和準則，作出準確的審計結論。
b) 審計質(zhì)量控制制度應覆蓋審計質(zhì)量責任、審計職業(yè)道德、審計人力資源、審計業(yè)務執(zhí)行、
審計質(zhì)量監(jiān)控等。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質(zhì)、CCRC資質(zhì)、網(wǎng)絡安全審計服務資質(zhì)三級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經(jīng)理。

相關文章：

網(wǎng)絡安全審計服務資質(zhì)一級評價要求 網(wǎng)絡安全審計服務資質(zhì)二級評價要求 工業(yè)控制系統(tǒng)安全服務資質(zhì)三級評價要求 工業(yè)控制系統(tǒng)安全服務資質(zhì)一級評價要求