網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級評價要求

Date18 8 月 2019

網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級評價要求針對審計對象調(diào)研、審計實施方案編制、審計取證與評價、
審計報告、跟蹤審計和審計質(zhì)量控制等六個過程進行，項目實施過程應(yīng)形成文件，具體分級要求如
下：

G2 網(wǎng)絡(luò)安全審計服務(wù)資質(zhì)二級評價要求
組織申報二級資質(zhì)，除滿足三級能力要求外，還應(yīng)滿足以下要求：
申請二級資質(zhì)認證的單位，至少完成6個完整的網(wǎng)絡(luò)安全審計項目；具備確定審計目標和范圍、
確定審計依據(jù)的能力；具備實施現(xiàn)場審計、報告審計發(fā)現(xiàn)和形成審計結(jié)論的能力；具備提出審計建
議的能力。
G2.1 審計對象識別
G2.1.1 了解被審計方業(yè)務(wù)和IT情況
a) 編制審計對象列表，包括審計對象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計方業(yè)務(wù)邏輯、應(yīng)用系統(tǒng)處理邏輯和IT基礎(chǔ)設(shè)施架構(gòu)。
G2.1.2 了解被審計方組織管理和IT管理情況
a) 梳理被審計方規(guī)章制度文件，形成審計項并編制對應(yīng)檢查表。
b) 編制完整審計調(diào)研報告，并說明重點審計項。
c) 制定審計風(fēng)險評價準則，評價審計風(fēng)險，為確定重點審計項和明確審計內(nèi)容提供依據(jù)。
G2.2 編制審計實施方案
G2.2.1 確定網(wǎng)絡(luò)安全審計目標
網(wǎng)絡(luò)安全審計目標應(yīng)經(jīng)過評審，并與被審計方達成一致。
G2.2.2 確定網(wǎng)絡(luò)安全審計依據(jù)
應(yīng)建立并維護常用審計依據(jù)庫，并確保審計依據(jù)是當前適用版本。
G2.2.3 確定網(wǎng)絡(luò)安全審計范圍和審計內(nèi)容
應(yīng)建立審計范圍、審計對象、審計依據(jù)要求項、審計程序（方法）、所需資源的對應(yīng)關(guān)系。
G2.2.4 組建審計組
應(yīng)指定審計組長、主審和審計組成員，并明確分配審計任務(wù)。
G2.3 審計取證與評價
G2.3.1 審計取證
a) 應(yīng)具備至少利用一種網(wǎng)絡(luò)安全審計工具執(zhí)行審計取證的能力。
b) 對電子形式存在的審計證據(jù)，應(yīng)做好取證記錄，并經(jīng)被審計方相關(guān)人員確認。
c) 應(yīng)采取必要的措施，保護取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計工作底稿
a) 應(yīng)建立審計工作底稿的分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責任。
b) 審計工作底稿的內(nèi)容應(yīng)包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，
審計程序的執(zhí)行過程及結(jié)果記錄，審計結(jié)論、意見及建議，審計人員姓名和審計日期，復(fù)
核人員姓名、復(fù)核日期和復(fù)核意見，編號及頁次，被審計方意見、附件等。
G2.3.3 審計評價
應(yīng)編制審計發(fā)現(xiàn)列表。
G2.4 審計報告
G2.4.1 一般原則
應(yīng)建立審計報告分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責任。
G2.4.2 審計報告的內(nèi)容
a) 審計報告中應(yīng)提出審計發(fā)現(xiàn)問題改進建議。
b) 應(yīng)建立程序，對已經(jīng)出具的審計報告可能存在的重要錯誤或者遺漏及時更正，并將更正后
的審計報告提交給原審計報告接收者。
G2.4.3 交付審計報告
c) 應(yīng)建立審計報告歸檔和保管制度。任何組織或者個人查閱和使用歸檔后的審計報告，必須
經(jīng)審計機構(gòu)負責人批準，但國家有關(guān)部門依法進行查閱的除外。
d) 審計報告歸被審計方所有，被審計方對審計報告的使用、保管等有明確要求的，應(yīng)遵守其
要求。
G2.5 跟蹤審計
G2.5.1 一般原則
應(yīng)編制跟蹤審計方案，對后續(xù)審計做出安排。
G2.5.2 跟蹤審計報告
跟蹤審計報告的管理參照G2.4審計報告。
G2.6 審計質(zhì)量控制
G2.6.1 審計質(zhì)量控制制度
a) 應(yīng)建立網(wǎng)絡(luò)安全審計工作手冊，規(guī)范網(wǎng)絡(luò)安全審計全生命周期內(nèi)的所有活動。
b) 確保審計質(zhì)量控制制度與網(wǎng)絡(luò)安全審計工作手冊相適應(yīng)。