網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級評價(jià)要求

Date18 8 月 2019

網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級評價(jià)要求針對審計(jì)對象調(diào)研、審計(jì)實(shí)施方案編制、審計(jì)取證與評價(jià)、
審計(jì)報(bào)告、跟蹤審計(jì)和審計(jì)質(zhì)量控制等六個(gè)過程進(jìn)行，項(xiàng)目實(shí)施過程應(yīng)形成文件，具體分級要求如
下：

G2 網(wǎng)絡(luò)安全審計(jì)服務(wù)資質(zhì)二級評價(jià)要求
組織申報(bào)二級資質(zhì)，除滿足三級能力要求外，還應(yīng)滿足以下要求：
申請二級資質(zhì)認(rèn)證的單位，至少完成6個(gè)完整的網(wǎng)絡(luò)安全審計(jì)項(xiàng)目；具備確定審計(jì)目標(biāo)和范圍、
確定審計(jì)依據(jù)的能力；具備實(shí)施現(xiàn)場審計(jì)、報(bào)告審計(jì)發(fā)現(xiàn)和形成審計(jì)結(jié)論的能力；具備提出審計(jì)建
議的能力。
G2.1 審計(jì)對象識(shí)別
G2.1.1 了解被審計(jì)方業(yè)務(wù)和IT情況
a) 編制審計(jì)對象列表，包括審計(jì)對象的數(shù)量、容量、功用、版本等屬性。
b) 梳理被審計(jì)方業(yè)務(wù)邏輯、應(yīng)用系統(tǒng)處理邏輯和IT基礎(chǔ)設(shè)施架構(gòu)。
G2.1.2 了解被審計(jì)方組織管理和IT管理情況
a) 梳理被審計(jì)方規(guī)章制度文件，形成審計(jì)項(xiàng)并編制對應(yīng)檢查表。
b) 編制完整審計(jì)調(diào)研報(bào)告，并說明重點(diǎn)審計(jì)項(xiàng)。
c) 制定審計(jì)風(fēng)險(xiǎn)評價(jià)準(zhǔn)則，評價(jià)審計(jì)風(fēng)險(xiǎn)，為確定重點(diǎn)審計(jì)項(xiàng)和明確審計(jì)內(nèi)容提供依據(jù)。
G2.2 編制審計(jì)實(shí)施方案
G2.2.1 確定網(wǎng)絡(luò)安全審計(jì)目標(biāo)
網(wǎng)絡(luò)安全審計(jì)目標(biāo)應(yīng)經(jīng)過評審，并與被審計(jì)方達(dá)成一致。
G2.2.2 確定網(wǎng)絡(luò)安全審計(jì)依據(jù)
應(yīng)建立并維護(hù)常用審計(jì)依據(jù)庫，并確保審計(jì)依據(jù)是當(dāng)前適用版本。
G2.2.3 確定網(wǎng)絡(luò)安全審計(jì)范圍和審計(jì)內(nèi)容
應(yīng)建立審計(jì)范圍、審計(jì)對象、審計(jì)依據(jù)要求項(xiàng)、審計(jì)程序（方法）、所需資源的對應(yīng)關(guān)系。
G2.2.4 組建審計(jì)組
應(yīng)指定審計(jì)組長、主審和審計(jì)組成員，并明確分配審計(jì)任務(wù)。
G2.3 審計(jì)取證與評價(jià)
G2.3.1 審計(jì)取證
a) 應(yīng)具備至少利用一種網(wǎng)絡(luò)安全審計(jì)工具執(zhí)行審計(jì)取證的能力。
b) 對電子形式存在的審計(jì)證據(jù)，應(yīng)做好取證記錄，并經(jīng)被審計(jì)方相關(guān)人員確認(rèn)。
c) 應(yīng)采取必要的措施，保護(hù)取證過程中所采集的電子數(shù)據(jù)的安全。
G2.3.2 編制審計(jì)工作底稿
a) 應(yīng)建立審計(jì)工作底稿的分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責(zé)任。
b) 審計(jì)工作底稿的內(nèi)容應(yīng)包括但不限于被審計(jì)部門的名稱，審計(jì)事項(xiàng)及其期間或者截止日期，
審計(jì)程序的執(zhí)行過程及結(jié)果記錄，審計(jì)結(jié)論、意見及建議，審計(jì)人員姓名和審計(jì)日期，復(fù)
核人員姓名、復(fù)核日期和復(fù)核意見，編號及頁次，被審計(jì)方意見、附件等。
G2.3.3 審計(jì)評價(jià)
應(yīng)編制審計(jì)發(fā)現(xiàn)列表。
G2.4 審計(jì)報(bào)告
G2.4.1 一般原則
應(yīng)建立審計(jì)報(bào)告分級復(fù)核制度，明確規(guī)定各級復(fù)核人員的要求和責(zé)任。
G2.4.2 審計(jì)報(bào)告的內(nèi)容
a) 審計(jì)報(bào)告中應(yīng)提出審計(jì)發(fā)現(xiàn)問題改進(jìn)建議。
b) 應(yīng)建立程序，對已經(jīng)出具的審計(jì)報(bào)告可能存在的重要錯(cuò)誤或者遺漏及時(shí)更正，并將更正后
的審計(jì)報(bào)告提交給原審計(jì)報(bào)告接收者。
G2.4.3 交付審計(jì)報(bào)告
c) 應(yīng)建立審計(jì)報(bào)告歸檔和保管制度。任何組織或者個(gè)人查閱和使用歸檔后的審計(jì)報(bào)告，必須
經(jīng)審計(jì)機(jī)構(gòu)負(fù)責(zé)人批準(zhǔn)，但國家有關(guān)部門依法進(jìn)行查閱的除外。
d) 審計(jì)報(bào)告歸被審計(jì)方所有，被審計(jì)方對審計(jì)報(bào)告的使用、保管等有明確要求的，應(yīng)遵守其
要求。
G2.5 跟蹤審計(jì)
G2.5.1 一般原則
應(yīng)編制跟蹤審計(jì)方案，對后續(xù)審計(jì)做出安排。
G2.5.2 跟蹤審計(jì)報(bào)告
跟蹤審計(jì)報(bào)告的管理參照G2.4審計(jì)報(bào)告。
G2.6 審計(jì)質(zhì)量控制
G2.6.1 審計(jì)質(zhì)量控制制度
a) 應(yīng)建立網(wǎng)絡(luò)安全審計(jì)工作手冊，規(guī)范網(wǎng)絡(luò)安全審計(jì)全生命周期內(nèi)的所有活動(dòng)。
b) 確保審計(jì)質(zhì)量控制制度與網(wǎng)絡(luò)安全審計(jì)工作手冊相適應(yīng)。