網絡安全審計服務資質三級評價要求針對審計對象調研、審計實施方案編制、審計取證與評價、
審計報告、跟蹤審計和審計質量控制等六個過程進行，項目實施過程應形成文件，具體分級要求如
下：
G1 網絡安全審計服務資質三級評價要求
申請三級資質認證的單位，具備確定審計目標和范圍、確定審計依據的能力；具備實施現(xiàn)場審
計、報告審計發(fā)現(xiàn)和形成審計結論的能力；具備提出審計建議的能力。
G1.1 審計對象識別
G1.1.1 了解被審計方業(yè)務和IT情況
a) 編制業(yè)務情況調研表，并按照調研表收集有效信息。
b) 編制IT情況調研表，并按照調研表收集有效信息。
G1.1.2 了解被審計方組織管理和IT管理情況
a) 有效掌握被審計方組織結構。
b) 有效掌握被審計方IT管理情況。
c) 了解被審計方IT支撐業(yè)務的對應關系。
d) 對網絡安全審計的風險進行初步評價。
G1.2 編制審計實施方案
G1.2.1 確定網絡安全審計目標
a) 合理確定每個具體網絡安全審計項目的目標。
b) 網絡安全審計目標可以包括信息化政策合規(guī)性、網絡安全建設和績效、政務系統(tǒng)整合和數(shù)
據共享、個人信息保護和數(shù)據保護、信息化項目建設績效與合規(guī)、信息系統(tǒng)有效性和可靠
性、信息系統(tǒng)應急響應能力等。
G1.2.2 確定網絡安全審計依據
a) 應根據具體審計目標，準確確定審計依據。
b) 網絡安全審計依據可以是國家和政策部門法律法規(guī)、國際國內相關標準、被審計方自己實
行的有關規(guī)章制度，以及審計委托方指定的其它審計依據。
G1.2.3 確定網絡安全審計范圍和審計內容
a) 應根據審計目標和審計依據，確定審計范圍。審計范圍應包括組織機構范圍、業(yè)務范圍、
IT基礎設施和應用系統(tǒng)范圍等。
b) 應根據審計依據和范圍，確定審計內容。審計內容應劃分到具體審計事項，明確每一個審
計事項的審計要點和審計方法及所需資源。
c) 審計方法及所需資源應包括審計人員、計劃時間安排、審計工具，以及可操作的審計方法
和流程。
G1.2.4 組建審計組
a) 應考慮審計目標、審計內容、審計范圍等組建審計組。
b) 選擇審計組成員應滿足通用評價要求的人員能力要求，同時應滿足審計和網絡安全審計基
礎流程中的人員能力要求。
G1.3 審計取證與評價
G1.3.1 審計取證
a) 應選擇適當?shù)姆椒?，在現(xiàn)場審計或非現(xiàn)場審計活動中獲取審計證據。審計取證的方法可以
是訪談、文件和記錄調閱、審計項檢查表、系統(tǒng)操作驗證、審計工具、函證等。
b) 在獲取審計證據過程中，應選擇適當?shù)某闃臃绞健?br /> c) 應采取必要措施，保證審計證據的相關性、可靠性和充分性
G1.3.2 編制審計工作底稿
a) 應在審計取證完成后，編制審計工作底稿或審計取證單。
b) 審計工作底稿或審計取證單應內容完整、記錄清晰、結論明確，客觀地反映項目審計方案
的編制及實施情況，以及與形成審計結論、意見和建議有關的所有重要事項。
c) 審計工作底稿或審計取證單應經被審計方簽字確認。
G1.3.3 審計評價
a) 應對審計證據與審計依據的符合性進行評價，以形成審計發(fā)現(xiàn)，審計發(fā)現(xiàn)應明確審計項符
合或不符合審計依據的程度，該程度可以用不同級別來表示。
b) 網絡安全審計評價應客觀、公正地反映被審計單位信息系統(tǒng)的真實情況。
G1.4 審計報告
G1.4.1 一般原則
a) 應實事求是地反映被審計事項的事實。
b) 應要素齊全、格式規(guī)范，完整反映審計中發(fā)現(xiàn)的重要問題。
c) 充分考慮審計項目的重要性和風險水平，對于重要事項應當重點說明。
d) 提出可行的改進建議，以促進被審計方信息系統(tǒng)有效支撐其業(yè)務的目標。
G1.4.2 審計報告的內容
a) 審計報告應完整、準確地反映審計結果，內容應包括審計概況、審計依據、審計發(fā)現(xiàn)、審
計結論、審計意見等。
b) 需要時，審計報告可以增加附件。附件內容可包括針對審計過程、審計中發(fā)現(xiàn)問題所作出
的具體說明，以及被審計單位的反饋意見等內容。
G1.4.3 交付審計報告
a) 應建立審計報告的批準和交付程序，保留交付記錄。
b) 應在審計委托方或被審計方約定的時間內交付，如延遲交付，應向審計委托方和被審計方
說明理由。
G1.5 跟蹤審計
G1.5.1 一般原則
a) 應安排對審計發(fā)現(xiàn)問題的整改措施和整改措施的效果進行跟蹤審計。
b) 應與被審計方約定在規(guī)定的時間內實施跟蹤審計，一般自審計報告交付起不超過6個月。
G1.5.2 跟蹤審計報告
a) 應當根據跟蹤審計的實施過程和結果編制跟蹤審計報告。
b) 跟蹤審計報告的管理參照G1.4審計報告。
G1.6 審計質量控制
G1.6.1 審計質量控制制度
a) 應建立審計質量控制制度，以確保遵守審計相關法規(guī)和準則，作出準確的審計結論。
b) 審計質量控制制度應覆蓋審計質量責任、審計職業(yè)道德、審計人力資源、審計業(yè)務執(zhí)行、
審計質量監(jiān)控等。

安信達咨詢可為您提供專業(yè)周到的信息安全服務資質、CCRC資質、網絡安全審計服務資質三級申請咨詢與代辦服務，歡迎與我們聯(lián)系。134-1861-1761 孫經理。

相關文章：

網絡安全審計服務資質一級評價要求 網絡安全審計服務資質二級評價要求 工業(yè)控制系統(tǒng)安全服務資質三級評價要求 工業(yè)控制系統(tǒng)安全服務資質一級評價要求