网络安全审计服务资质专业评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、审计报告、跟踪审计和审计质量控制等六个过程进行,项目实施过程应形成文件,具体分级要求如下:
三级要求
申请三级资质认证的单位,具备确定审计目标和范围、确定审计依据的能力;具备实施现场审 计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。
1 审计对象识别
1.1 了解被审计方业务和IT情况
a) 编制业务情况调研表,并按照调研表收集有效信息。
b) 编制IT情况调研表,并按照调研表收集有效信息。
1.2 了解被审计方组织管理和IT管理情况
a) 有效掌握被审计方组织结构。
b) 有效掌握被审计方IT管理情况。
c) 了解被审计方IT支撑业务的对应关系。
d) 对网络安全审计的风险进行初步评价。
2 编制审计实施方案
2.1 确定网络安全审计目标
a) 合理确定每个具体网络安全审计项目的目标。
b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。
2.2 确定网络安全审计依据
a) 应根据具体审计目标,准确确定审计依据。
b) 网络安全审计依据可以是国家和政策部门法律法规、国际国内相关标准、被审计方自己实行的有关规章制度,以及审计委托方指定的其它审计依据。
2.3 确定网络安全审计范围和审计内容
a) 应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、 IT基础设施和应用系统范围等。
b) 应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审 计事项的审计要点和审计方法及所需资源。
c) 审计方法及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法 和流程。
2.4 组建审计组
a) 应考虑审计目标、审计内容、审计范围等组建审计组。
b) 选择审计组成员应满足通用评价要求的人员能力要求,同时应满足审计和网络安全审计基 础流程中的人员能力要求。
3 审计取证与评价
3.1 审计取证
a) 应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以 是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。
b) 在获取审计证据过程中,应选择适当的抽样方式。
c) 应采取必要措施,保证审计证据的相关性、可靠性和充分性
3.2 编制审计工作底稿
a) 应在审计取证完成后,编制审计工作底稿或审计取证单。
b) 审计工作底稿或审计取证单应内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。
c) 审计工作底稿或审计取证单应经被审计方签字确认。
3.3 审计评价
a) 应对审计证据与审计依据的符合性进行评价,以形成审计发现,审计发现应明确审计项符 合或不符合审计依据的程度,该程度可以用不同级别来表示。
b) 网络安全审计评价应客观、公正地反映被审计单位信息系统的真实情况。
4 审计报告
4.1 一般原则
a) 应实事求是地反映被审计事项的事实。
b) 应要素齐全、格式规范,完整反映审计中发现的重要问题。
c) 充分考虑审计项目的重要性和风险水平,对于重要事项应当重点说明。
d) 提出可行的改进建议,以促进被审计方信息系统有效支撑其业务的目标。
4.2 审计报告的内容
a) 审计报告应完整、准确地反映审计结果,内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。
b) 需要时,审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出的具体说明,以及被审计单位的反馈意见等内容。
4.3 交付审计报告
a) 应建立审计报告的批准和交付程序,保留交付记录。
b) 应在审计委托方或被审计方约定的时间内交付,如延迟交付,应向审计委托方和被审计方说明理由。
5 跟踪审计
5.1 一般原则
a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。
b) 应与被审计方约定在规定的时间内实施跟踪审计,一般自审计报告交付起不超过6个月。
5.2 跟踪审计报告
a) 应当根据跟踪审计的实施过程和结果编制跟踪审计报告。
b) 跟踪审计报告的管理参照——4审计报告。
6 审计质量控制
6.1 审计质量控制制度
a) 应建立审计质量控制制度,以确保遵守审计相关法规和准则,作出准确的审计结论。
b) 审计质量控制制度应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、 审计质量监控等。
二级要求
组织申报二级资质,除满足三级能力要求外,还应满足以下要求:
申请二级资质认证的单位,至少完成6个完整的网络安全审计项目;具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。
1 审计对象识别
1.1 了解被审计方业务和IT情况
a) 编制审计对象列表,包括审计对象的数量、容量、功用、版本等属性。
b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。
1.2 了解被审计方组织管理和IT管理情况
a) 梳理被审计方规章制度文件,形成审计项并编制对应检查表。
b) 编制完整审计调研报告,并说明重点审计项。
c) 制定审计风险评价准则,评价审计风险,为确定重点审计项和明确审计内容提供依据。
2 编制审计实施方案
2.1 确定网络安全审计目标 网络安全审计目标应经过评审,并与被审计方达成一致。
2.2 确定网络安全审计依据 应建立并维护常用审计依据库,并确保审计依据是当前适用版本。
2.3 确定网络安全审计范围和审计内容 应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。
2.4 组建审计组应指定审计组长、主审和审计组成员,并明确分配审计任务。
3 审计取证与评价
3.1 审计取证
a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。
b) 对电子形式存在的审计证据,应做好取证记录,并经被审计方相关人员确认。
c) 应采取必要的措施,保护取证过程中所采集的电子数据的安全。
3.2 编制审计工作底稿
a) 应建立审计工作底稿的分级复核制度,明确规定各级复核人员的要求和责任。
b) 审计工作底稿的内容应包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、复核日期和复核意见,编号及页次,被审计方意见、附件等。
3.3 审计评价
应编制审计发现列表。
4 审计报告
4.1 一般原则
应建立审计报告分级复核制度,明确规定各级复核人员的要求和责任。
4.2 审计报告的内容
a) 审计报告中应提出审计发现问题改进建议。
b) 应建立程序,对已经出具的审计报告可能存在的重要错误或者遗漏及时更正,并将更正后的审计报告提交给原审计报告接收者。
4.3 交付审计报告
c) 应建立审计报告归档和保管制度。任何组织或者个人查阅和使用归档后的审计报告,必须经审计机构负责人批准,但国家有关部门依法进行查阅的除外。
d) 审计报告归被审计方所有,被审计方对审计报告的使用、保管等有明确要求的,应遵守其要求。
5 跟踪审计
5.1 一般原则
应编制跟踪审计方案,对后续审计做出安排。
5.2 跟踪审计报告
跟踪审计报告的管理参照——4审计报告。
6 审计质量控制
6.1 审计质量控制制度
a) 应建立网络安全审计工作手册,规范网络安全审计全生命周期内的所有活动。
b) 确保审计质量控制制度与网络安全审计工作手册相适应。
一级要求
组织申报一级资质,除满足二级能力要求外,还应满足以下要求:
申请一级资质认证的单位,至少完成10个以上不同行业(如金融、电信、能源、医疗、公共部门等)完整的网络安全审计项目,项目审计目标应覆盖至少合规、安全、绩效等;具备确定审计目 标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。
1 审计对象识别
1.1 了解被审计方业务和IT情况
a) 应利用应用系统工具来建立和管理审计对象库。
b) 具备为被审计方提供审计对象管理工具的能力。
1.2 了解被审计方组织管理和IT管理情况应建立审计调研报告分级复核制度,明确规定各级复核人员的要求和责任。
2 编制审计实施方案
2.1 确定网络安全审计目标
2.2 确定网络安全审计依据
a) 应利用应用系统工具来建立和维护常用审计依据库,并确保审计依据是当前适用版本。 b) 具备为被审计方提供审计依据管理工具的能力。
2.3 确定网络安全审计范围和审计内容
a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方 法)、所需资源的对应关系。
b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源等对应关系管理工具的能力。
2.4 组建审计组 对于特定行业领域的网络安全审计,应具备聘请外部行业技术专家作为审计组成员。
3 审计取证与评价
3.1 审计取证
a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的审计工具取证的能力。
b) 利用审计工具取证时,应采取措施确保对审计对象的风险最小化。
3.2 编制审计工作底稿
a) 应利用应用系统工具来归档和保管审计工作底稿。
b) 具备为被审计方提供审计工作底稿管理工具的能力。
3.3 审计评价
a) 应利用应用系统工具来管理审计发现列表。
b) 具备为被审计方提供审计发现列表管理工具的能力。
4 审计报告
4.1 一般原则 应利用应用系统工具来管理审计报告。
4.2 审计报告的内容 在审计的任何阶段,如果遇到或发现与审计目标和内容有关的重大问题,如违法违规问题、重大安全风险等,应出具审计专报。
4.3 交付审计报告
具备为被审计方提供审计报告管理工具的能力。
5 跟踪审计
5.1 一般原则
无
5.2 跟踪审计报告
跟踪审计报告的管理参照——4审计报告。
6 审计质量控制
6.1 审计质量控制制度
a) 应监督网络安全审计实施的过程。
b) 应定期开展网络安全审计质量检查。
