网络安全审计服务资质二级评价要求

Date18 8月 2019

网络安全审计服务资质二级评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、
审计报告、跟踪审计和审计质量控制等六个过程进行，项目实施过程应形成文件，具体分级要求如
下：

G2 网络安全审计服务资质二级评价要求
组织申报二级资质，除满足三级能力要求外，还应满足以下要求：
申请二级资质认证的单位，至少完成6个完整的网络安全审计项目；具备确定审计目标和范围、
确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建
议的能力。
G2.1 审计对象识别
G2.1.1 了解被审计方业务和IT情况
a) 编制审计对象列表，包括审计对象的数量、容量、功用、版本等属性。
b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。
G2.1.2 了解被审计方组织管理和IT管理情况
a) 梳理被审计方规章制度文件，形成审计项并编制对应检查表。
b) 编制完整审计调研报告，并说明重点审计项。
c) 制定审计风险评价准则，评价审计风险，为确定重点审计项和明确审计内容提供依据。
G2.2 编制审计实施方案
G2.2.1 确定网络安全审计目标
网络安全审计目标应经过评审，并与被审计方达成一致。
G2.2.2 确定网络安全审计依据
应建立并维护常用审计依据库，并确保审计依据是当前适用版本。
G2.2.3 确定网络安全审计范围和审计内容
应建立审计范围、审计对象、审计依据要求项、审计程序（方法）、所需资源的对应关系。
G2.2.4 组建审计组
应指定审计组长、主审和审计组成员，并明确分配审计任务。
G2.3 审计取证与评价
G2.3.1 审计取证
a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。
b) 对电子形式存在的审计证据，应做好取证记录，并经被审计方相关人员确认。
c) 应采取必要的措施，保护取证过程中所采集的电子数据的安全。
G2.3.2 编制审计工作底稿
a) 应建立审计工作底稿的分级复核制度，明确规定各级复核人员的要求和责任。
b) 审计工作底稿的内容应包括但不限于被审计部门的名称，审计事项及其期间或者截止日期，
审计程序的执行过程及结果记录，审计结论、意见及建议，审计人员姓名和审计日期，复
核人员姓名、复核日期和复核意见，编号及页次，被审计方意见、附件等。
G2.3.3 审计评价
应编制审计发现列表。
G2.4 审计报告
G2.4.1 一般原则
应建立审计报告分级复核制度，明确规定各级复核人员的要求和责任。
G2.4.2 审计报告的内容
a) 审计报告中应提出审计发现问题改进建议。
b) 应建立程序，对已经出具的审计报告可能存在的重要错误或者遗漏及时更正，并将更正后
的审计报告提交给原审计报告接收者。
G2.4.3 交付审计报告
c) 应建立审计报告归档和保管制度。任何组织或者个人查阅和使用归档后的审计报告，必须
经审计机构负责人批准，但国家有关部门依法进行查阅的除外。
d) 审计报告归被审计方所有，被审计方对审计报告的使用、保管等有明确要求的，应遵守其
要求。
G2.5 跟踪审计
G2.5.1 一般原则
应编制跟踪审计方案，对后续审计做出安排。
G2.5.2 跟踪审计报告
跟踪审计报告的管理参照G2.4审计报告。
G2.6 审计质量控制
G2.6.1 审计质量控制制度
a) 应建立网络安全审计工作手册，规范网络安全审计全生命周期内的所有活动。
b) 确保审计质量控制制度与网络安全审计工作手册相适应。