網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級評價要求

Date19 8 月 2019

網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級評價要求針對審計對象調(diào)研、審計實施方案編制、審計取證與評價、
審計報告、跟蹤審計和審計質(zhì)量控制等六個過程進行，項目實施過程應(yīng)形成文件，具體分級要求如
下：

G3 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)一級評價要求
組織申報一級資質(zhì)，除滿足二級能力要求外，還應(yīng)滿足以下要求：
申請一級資質(zhì)認證的單位，至少完成10個以上不同行業(yè)（如金融、電信、能源、醫(yī)療、公共部
門等）完整的網(wǎng)絡(luò)安全審計項目，項目審計目標應(yīng)覆蓋至少合規(guī)、安全、績效等；具備確定審計目
標和范圍、確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備
提出審計建議的能力。
G3.1 審計對象識別
G3.1.1 了解被審計方業(yè)務(wù)和IT情況
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和管理審計對象庫。
b) 具備為被審計方提供審計對象管理工具的能力。
G3.1.2 了解被審計方組織管理和IT管理情況
應(yīng)建立審計調(diào)研報告分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責任。
G3.2 編制審計實施方案
G3.2.1 確定網(wǎng)絡(luò)安全審計目標
無
G3.2.2 確定網(wǎng)絡(luò)安全審計依據(jù)
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護常用審計依據(jù)庫，并確保審計依據(jù)是當前適用版本。
b) 具備為被審計方提供審計依據(jù)管理工具的能力。
G3.2.3 確定網(wǎng)絡(luò)安全審計范圍和審計內(nèi)容
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來建立和維護審計范圍、審計對象、審計依據(jù)要求項、審計程序（方
法）、所需資源的對應(yīng)關(guān)系。
b) 具備為被審計方提供審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資
源等對應(yīng)關(guān)系管理工具的能力。
G3.2.4 組建審計組
對于特定行業(yè)領(lǐng)域的網(wǎng)絡(luò)安全審計，應(yīng)具備聘請外部行業(yè)技術(shù)專家作為審計組成員。
G3.3 審計取證與評價
G3.3.1 審計取證
a) 應(yīng)至少具備和使用數(shù)據(jù)分析類、漏洞和缺陷掃描類、系統(tǒng)配置和運行日志檢查類等類型的
審計工具取證的能力。
b) 利用審計工具取證時，應(yīng)采取措施確保對審計對象的風險最小化。
G3.3.2 編制審計工作底稿
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來歸檔和保管審計工作底稿。
b) 具備為被審計方提供審計工作底稿管理工具的能力。
G3.3.3 審計評價
a) 應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計發(fā)現(xiàn)列表。
b) 具備為被審計方提供審計發(fā)現(xiàn)列表管理工具的能力。
G3.4 審計報告
G3.4.1 一般原則
應(yīng)利用應(yīng)用系統(tǒng)工具來管理審計報告。
G3.4.2 審計報告的內(nèi)容
在審計的任何階段，如果遇到或發(fā)現(xiàn)與審計目標和內(nèi)容有關(guān)的重大問題，如違法違規(guī)問題、重
大安全風險等，應(yīng)出具審計專報。
G3.4.3 交付審計報告
具備為被審計方提供審計報告管理工具的能力。
G3.5 跟蹤審計
G3.5.1 一般原則
無
G3.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G3.4審計報告。
G3.6 審計質(zhì)量控制
G3.6.1 審計質(zhì)量控制制度
a) 應(yīng)監(jiān)督網(wǎng)絡(luò)安全審計實施的過程。
b) 應(yīng)定期開展網(wǎng)絡(luò)安全審計質(zhì)量檢查。