網絡安全審計服務資質二級評價要求

Date18 8 月 2019

網絡安全審計服務資質二級評價要求針對審計對象調研、審計實施方案編制、審計取證與評價、
審計報告、跟蹤審計和審計質量控制等六個過程進行，項目實施過程應形成文件，具體分級要求如
下：

G2 網絡安全審計服務資質二級評價要求
組織申報二級資質，除滿足三級能力要求外，還應滿足以下要求：
申請二級資質認證的單位，至少完成6個完整的網絡安全審計項目；具備確定審計目標和范圍、
確定審計依據的能力；具備實施現場審計、報告審計發(fā)現和形成審計結論的能力；具備提出審計建
議的能力。
G2.1 審計對象識別
G2.1.1 了解被審計方業(yè)務和IT情況
a) 編制審計對象列表，包括審計對象的數量、容量、功用、版本等屬性。
b) 梳理被審計方業(yè)務邏輯、應用系統(tǒng)處理邏輯和IT基礎設施架構。
G2.1.2 了解被審計方組織管理和IT管理情況
a) 梳理被審計方規(guī)章制度文件，形成審計項并編制對應檢查表。
b) 編制完整審計調研報告，并說明重點審計項。
c) 制定審計風險評價準則，評價審計風險，為確定重點審計項和明確審計內容提供依據。
G2.2 編制審計實施方案
G2.2.1 確定網絡安全審計目標
網絡安全審計目標應經過評審，并與被審計方達成一致。
G2.2.2 確定網絡安全審計依據
應建立并維護常用審計依據庫，并確保審計依據是當前適用版本。
G2.2.3 確定網絡安全審計范圍和審計內容
應建立審計范圍、審計對象、審計依據要求項、審計程序（方法）、所需資源的對應關系。
G2.2.4 組建審計組
應指定審計組長、主審和審計組成員，并明確分配審計任務。
G2.3 審計取證與評價
G2.3.1 審計取證
a) 應具備至少利用一種網絡安全審計工具執(zhí)行審計取證的能力。
b) 對電子形式存在的審計證據，應做好取證記錄，并經被審計方相關人員確認。
c) 應采取必要的措施，保護取證過程中所采集的電子數據的安全。
G2.3.2 編制審計工作底稿
a) 應建立審計工作底稿的分級復核制度，明確規(guī)定各級復核人員的要求和責任。
b) 審計工作底稿的內容應包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，
審計程序的執(zhí)行過程及結果記錄，審計結論、意見及建議，審計人員姓名和審計日期，復
核人員姓名、復核日期和復核意見，編號及頁次，被審計方意見、附件等。
G2.3.3 審計評價
應編制審計發(fā)現列表。
G2.4 審計報告
G2.4.1 一般原則
應建立審計報告分級復核制度，明確規(guī)定各級復核人員的要求和責任。
G2.4.2 審計報告的內容
a) 審計報告中應提出審計發(fā)現問題改進建議。
b) 應建立程序，對已經出具的審計報告可能存在的重要錯誤或者遺漏及時更正，并將更正后
的審計報告提交給原審計報告接收者。
G2.4.3 交付審計報告
c) 應建立審計報告歸檔和保管制度。任何組織或者個人查閱和使用歸檔后的審計報告，必須
經審計機構負責人批準，但國家有關部門依法進行查閱的除外。
d) 審計報告歸被審計方所有，被審計方對審計報告的使用、保管等有明確要求的，應遵守其
要求。
G2.5 跟蹤審計
G2.5.1 一般原則
應編制跟蹤審計方案，對后續(xù)審計做出安排。
G2.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G2.4審計報告。
G2.6 審計質量控制
G2.6.1 審計質量控制制度
a) 應建立網絡安全審計工作手冊，規(guī)范網絡安全審計全生命周期內的所有活動。
b) 確保審計質量控制制度與網絡安全審計工作手冊相適應。