网络安全审计服务资质三级评价要求

Date17 8月 2019

网络安全审计服务资质三级评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、
审计报告、跟踪审计和审计质量控制等六个过程进行，项目实施过程应形成文件，具体分级要求如
下：
G1 网络安全审计服务资质三级评价要求
申请三级资质认证的单位，具备确定审计目标和范围、确定审计依据的能力；具备实施现场审
计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。
G1.1 审计对象识别
G1.1.1 了解被审计方业务和IT情况
a) 编制业务情况调研表，并按照调研表收集有效信息。
b) 编制IT情况调研表，并按照调研表收集有效信息。
G1.1.2 了解被审计方组织管理和IT管理情况
a) 有效掌握被审计方组织结构。
b) 有效掌握被审计方IT管理情况。
c) 了解被审计方IT支撑业务的对应关系。
d) 对网络安全审计的风险进行初步评价。
G1.2 编制审计实施方案
G1.2.1 确定网络安全审计目标
a) 合理确定每个具体网络安全审计项目的目标。
b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数
据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠
性、信息系统应急响应能力等。
G1.2.2 确定网络安全审计依据
a) 应根据具体审计目标，准确确定审计依据。
b) 网络安全审计依据可以是国家和政策部门法律法规、国际国内相关标准、被审计方自己实
行的有关规章制度，以及审计委托方指定的其它审计依据。
G1.2.3 确定网络安全审计范围和审计内容
a) 应根据审计目标和审计依据，确定审计范围。审计范围应包括组织机构范围、业务范围、
IT基础设施和应用系统范围等。
b) 应根据审计依据和范围，确定审计内容。审计内容应划分到具体审计事项，明确每一个审
计事项的审计要点和审计方法及所需资源。
c) 审计方法及所需资源应包括审计人员、计划时间安排、审计工具，以及可操作的审计方法
和流程。
G1.2.4 组建审计组
a) 应考虑审计目标、审计内容、审计范围等组建审计组。
b) 选择审计组成员应满足通用评价要求的人员能力要求，同时应满足审计和网络安全审计基
础流程中的人员能力要求。
G1.3 审计取证与评价
G1.3.1 审计取证
a) 应选择适当的方法，在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以
是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。
b) 在获取审计证据过程中，应选择适当的抽样方式。
c) 应采取必要措施，保证审计证据的相关性、可靠性和充分性
G1.3.2 编制审计工作底稿
a) 应在审计取证完成后，编制审计工作底稿或审计取证单。
b) 审计工作底稿或审计取证单应内容完整、记录清晰、结论明确，客观地反映项目审计方案
的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。
c) 审计工作底稿或审计取证单应经被审计方签字确认。
G1.3.3 审计评价
a) 应对审计证据与审计依据的符合性进行评价，以形成审计发现，审计发现应明确审计项符
合或不符合审计依据的程度，该程度可以用不同级别来表示。
b) 网络安全审计评价应客观、公正地反映被审计单位信息系统的真实情况。
G1.4 审计报告
G1.4.1 一般原则
a) 应实事求是地反映被审计事项的事实。
b) 应要素齐全、格式规范，完整反映审计中发现的重要问题。
c) 充分考虑审计项目的重要性和风险水平，对于重要事项应当重点说明。
d) 提出可行的改进建议，以促进被审计方信息系统有效支撑其业务的目标。
G1.4.2 审计报告的内容
a) 审计报告应完整、准确地反映审计结果，内容应包括审计概况、审计依据、审计发现、审
计结论、审计意见等。
b) 需要时，审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出
的具体说明，以及被审计单位的反馈意见等内容。
G1.4.3 交付审计报告
a) 应建立审计报告的批准和交付程序，保留交付记录。
b) 应在审计委托方或被审计方约定的时间内交付，如延迟交付，应向审计委托方和被审计方
说明理由。
G1.5 跟踪审计
G1.5.1 一般原则
a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。
b) 应与被审计方约定在规定的时间内实施跟踪审计，一般自审计报告交付起不超过6个月。
G1.5.2 跟踪审计报告
a) 应当根据跟踪审计的实施过程和结果编制跟踪审计报告。
b) 跟踪审计报告的管理参照G1.4审计报告。
G1.6 审计质量控制
G1.6.1 审计质量控制制度
a) 应建立审计质量控制制度，以确保遵守审计相关法规和准则，作出准确的审计结论。
b) 审计质量控制制度应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、
审计质量监控等。