网络安全审计服务资质一级评价要求

Date19 8月 2019

网络安全审计服务资质一级评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、
审计报告、跟踪审计和审计质量控制等六个过程进行，项目实施过程应形成文件，具体分级要求如
下：

G3 网络安全审计服务资质一级评价要求
组织申报一级资质，除满足二级能力要求外，还应满足以下要求：
申请一级资质认证的单位，至少完成10个以上不同行业（如金融、电信、能源、医疗、公共部
门等）完整的网络安全审计项目，项目审计目标应覆盖至少合规、安全、绩效等；具备确定审计目
标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备
提出审计建议的能力。
G3.1 审计对象识别
G3.1.1 了解被审计方业务和IT情况
a) 应利用应用系统工具来建立和管理审计对象库。
b) 具备为被审计方提供审计对象管理工具的能力。
G3.1.2 了解被审计方组织管理和IT管理情况
应建立审计调研报告分级复核制度，明确规定各级复核人员的要求和责任。
G3.2 编制审计实施方案
G3.2.1 确定网络安全审计目标
无
G3.2.2 确定网络安全审计依据
a) 应利用应用系统工具来建立和维护常用审计依据库，并确保审计依据是当前适用版本。
b) 具备为被审计方提供审计依据管理工具的能力。
G3.2.3 确定网络安全审计范围和审计内容
a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序（方
法）、所需资源的对应关系。
b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序（方法）、所需资
源等对应关系管理工具的能力。
G3.2.4 组建审计组
对于特定行业领域的网络安全审计，应具备聘请外部行业技术专家作为审计组成员。
G3.3 审计取证与评价
G3.3.1 审计取证
a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的
审计工具取证的能力。
b) 利用审计工具取证时，应采取措施确保对审计对象的风险最小化。
G3.3.2 编制审计工作底稿
a) 应利用应用系统工具来归档和保管审计工作底稿。
b) 具备为被审计方提供审计工作底稿管理工具的能力。
G3.3.3 审计评价
a) 应利用应用系统工具来管理审计发现列表。
b) 具备为被审计方提供审计发现列表管理工具的能力。
G3.4 审计报告
G3.4.1 一般原则
应利用应用系统工具来管理审计报告。
G3.4.2 审计报告的内容
在审计的任何阶段，如果遇到或发现与审计目标和内容有关的重大问题，如违法违规问题、重
大安全风险等，应出具审计专报。
G3.4.3 交付审计报告
具备为被审计方提供审计报告管理工具的能力。
G3.5 跟踪审计
G3.5.1 一般原则
无
G3.5.2 跟踪审计报告
跟踪审计报告的管理参照G3.4审计报告。
G3.6 审计质量控制
G3.6.1 审计质量控制制度
a) 应监督网络安全审计实施的过程。
b) 应定期开展网络安全审计质量检查。