网络安全审计服务专业评价要求
条 款 |
三级要求 |
二级要求 |
一级要求 |
|
| 1.审计对象识别 | 1.1 了解被审计方业务和IT情况 | a)编制业务情况和IT情况调研表,并按照调研表收集有效信息。 | b)编制审计对象列表,包括审计对象的数量、容量、功用、版本等属性。 | c)梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。 |
| 1.2 了解被审计方组织管理和IT管理情况 | a)有效掌握被审计方组织结构、IT管理情况,以及被审计方IT支撑业务的对应关系。
b)对网络安全审计的风险进行初步评价。 |
c)梳理被审计方规章制度文件,形成审计项并编制对应检查表。
d)编制完整审计调研报告,并说明重点审计项。 |
e)制定审计风险评价准则,评价审计风险,为确定重点审计项和明确审计内容提供依据。
f)应建立审计调研报告分级复核制度,明确规定各级复核人员的要求和责任。 |
|
| 2.编制审计实施方案 | 2.1 确定网络安全审计目标 | a)合理确定每个具体网络安全审计项目的目标,网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。 | ||
| 2.2 确定网络安全审计依据 | a)应根据具体审计目标,准确确定审计依据,网络安全审计依据可以是国家和政策部门法律法规、国际国内相关标准、被审计方自己实行的有关规章制度,以及审计委托方指定的其它审计依据。 | b)应建立并维护常用审计依据库,并确保审计依据是当前适用版本。 | ||
| 2.3 确定网络安全审计范围和审计内容 | a)应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、IT基础设施和应用系统范围等。
b)应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审计事项的审计要点和审计方法及所需资源。 c)审计方法及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法和流程。 |
d)应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。 | ||
| 2.4 组建审计组 | a)应考虑审计目标、审计内容、审计范围等组建审计组,选择审计组成员应满足通用评价要求的人员能力要求,同时应满足审计和网络安全审计基础流程中的人员能力要求。 | b)对于特定行业领域的网络安全审计,应具备聘请外部行业技术专家作为审计组成员。 | ||
| 3.审计取证与评价 | 3.1 审计取证 | a)应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。
b)在获取审计证据过程中,应选择适当的抽样方式。 c)应采取必要措施,保证审计证据的相关性、可靠性和充分性。 |
d)应具备至少利用一种网络安全审计工具执行审计取证的能力。
e)对电子形式存在的审计证据,应做好取证记录;应采取必要的措施,保护取证过程中所采集的电子数据的安全。 |
f)应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的审计工具取证的能力。
g)利用审计工具取证时,应采取措施确保对审计对象的风险最小化。 |
| 3.2 编制审计工作底稿 | a)应在审计取证完成后,编制审计工作底稿或审计取证单,审计工作底稿或审计取证单应内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。 | b)应建立审计工作底稿的分级复核制度,明确规定各级复核人员的要求和责任,审计工作底稿的内容应包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、复核日期和复核意见,编号及页次,被审计方意见、附件等。 | ||
| 3.3 审计评价 | a)应对审计证据与审计依据的符合性进行评价,以形成审计发现,审计发现应明确审计项符合或不符合审计依据的程度,该程度可以用不同级别来表示。 | b)应编制审计发现列表。 | ||
| 4.审计报告 | 4.1 审计报告的内容 | a)审计报告应完整、准确地反映审计结果,内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。 | b)应建立审计报告分级复核制度,明确规定各级复核人员的要求和责任,审计报告中应提出审计发现问题改进建议。
应建立程序,对已经出具的审计报告可能存在的重要错误或者遗漏及时更正,并将更正后的审计报告提交给原审计报告接收者。 |
c)在审计的任何阶段,如果遇到或发现与审计目标和内容有关的重大问题,如违法违规问题、重大安全风险等,应出具审计专报。 |
| 4.2 交付审计报告 | a)应建立审计报告的批准和交付程序,保留交付记录。 | b)应建立审计报告归档和保管制度。任何组织或者个人查阅和使用归档后的审计报告,必须经审计机构负责人批准,但国家有关部门依法进行查阅的除外。 | ||
| 5.跟踪审计 | 5.1 跟踪审计报告 | a)应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。
b)应与被审计方约定在规定的时间内实施跟踪审计,一般自审计报告交付起不超过6个月。 c)应当根据跟踪审计的实施过程和结果编制跟踪审计报告。 d)跟踪审计报告的管理参照4审计报告。 |
e)应编制跟踪审计方案,对后续审计做出安排。
f)跟踪审计报告的管理参照4审计报告。 |
g)跟踪审计报告的管理参照4审计报告。 |
| 6.审计质量控制 | 6.1 审计质量控制制度 | a)应建立审计质量控制制度,审计质量控制制度应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、审计质量监控等。 | b)应建立网络安全审计工作手册,规范网络安全审计全生命周期内的所有活动,确保审计质量控制制度与网络安全审计工作手册相适应。 | c)应监督网络安全审计实施的过程,定期开展网络安全审计质量检查。 |
附件:信息安全服务人员能力要求
信息安全服务人员能力要求
从事信息安全服务的相关人员,应具备技术和管理能力并通过考试,各服务类别的笔试科目及范围如下:
序号 |
网络安全审计方向考试科目和范围 |
|
1. |
网络安全审计人员基本素质
(1)职业素养:深刻理解从事网络安全审计工作必备的职业素养、特殊责任。 (2)知识结构:理解网络安全审计工作所需基础知识结构,深刻理解网络安全审计的本质含义。 (3)工作技能:理解从事网络安全审计工作所需的基本技能、网络安全审计工作的特殊困难。 |
|
2. |
网络安全审计基础知识
(1)网络安全审计概念:理解审计、审计依据、审计计划、审计实施、审计报告、跟踪审计、审计证据、审计发现、审计工作底稿等概念,准确理解审计的含义、对象、分类等内容。 (2)网络安全审计内容:了解网络安全审计所涵盖的内容范围。 (3)网络安全审计的历史和发展:了解网络安全审计提出的必要性、与风险评估、测评、检查、审核等的关系,了解网络安全审计的发展历程, (4)网络安全审计的发展形势:了解国内外网络安全审计发展形势、了解国内各行业和监管部门对网络安全审计的认识及最新动态。 |
|
3. |
网络安全审计依据
(1)我国法律法规体系:了解我国信息系统法律法规架构、基本分类。 (2)国内外信息系统标准:了解国外信息标准化相关机构以及相互关系,如ISO、IEC、ITU和发达国家的信息标准相关组织机构,了解我国信息标准相关组织及其关系,如国家标准化管理委员会、全国信息化标准技术委员会、全国信息安全标准化技术委员会等,了解ISO、IEC和ITU信息相关标准建设情况,了解美国特有的信息相关标准建设情况,了解我国信息相关标准建设情况。 (3)我国相关行业标准:了解我国各行业信息相关标准管理机构、以及主要的信息管理标准,例如金融行业、通信行业、能力行业等。 (4)我国相关监管文件:了解我国监管部门制定及发布的信息化文件,例如银保监会、证监会、工信部、能源局等。 (5)国内外IT相关的最佳实践文档。 |
|
4. |
网络安全审计方法
(1)网络安全审计流程:了解传统审计的流程,了解网络安全审计的流程。 (2)网络安全审计常用方法:了解网络安全审计中的访谈、检查、观察等常见方法,了解信息系统测试的常用方法。 (3)网络安全审计项目管理:了解网络安全审计计划管理的方法,了解网络安全审计质量管理的方法,了解网络安全审计风险管理的方法,了解网络安全审计档案管理的方法。 |
|
5. |
网络安全审计实务
(1)现场审计:了解网络安全审计计划的准备及编制方法,了解网络安全审计证据的获取方法,了解网络安全审计工作底稿的要求及编制方法。 (2)审计报告及后续审计:了解网络安全审计报告的编制方法,了解网络安全审计建议及跟踪验证的方式。 (3)网络安全审计实例:了解不同专项审计的要点和特性,理解1-2个专项审计的典型审计实例。 |
|
6. |
信息系统一般控制审计
(1)信息系统总体控制审计:了解信息系统总体控制审计的目的,了解信息系统总体控制审计事项评价指标,包括战略规划、组织架构、制度体系、岗位职责、内部监督等。 (2)信息安全管理控制审计:了解信息安全管理控制审计的目的,了解信息安全管理控制审计事项评价指标,包括安全管理机构、安全管理制度、人员安全管理、系统建设安全管理、系统运维安全管理等。 (3)信息安全技术控制审计:了解信息安全技术控制审计的目的,了解信息安全技术控制审计事项评价指标,包括物理安全、网络安全、主机安全、应用安全、数据安全、信息化装备自主可控等。 (5)上机测试:了解一般控制的相关工具,掌握工具的使用方法。 |
|
7. |
信息系统应用控制审计
(1)信息系统业务流程控制审计:了解信息系统业务流程控制审计的目的,了解信息系统业务流程控制审计事项评价指标,包括业务流程设计、业务流程处理、业务流程功能等。 (2)数据输入、处理和输出控制审计:了解数据输入、处理和输出控制审计的目的,了解数据输入、处理和输出控制审计事项评价指标,包括数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享与交换控制、备份与恢复数据接收控制、数据转换控制、数据整理控制、数据计算控制、数据汇总控制、数据外设输出控制、数据检索输出控制、数据共享输出控制、备份与恢复输出控制等。 (3)信息共享和业务协同审计:了解信息共享和业务协同审计的目的,了解信息共享和业务协同审计事项评价指标,包括信息资源目录体系、信息资源交换体系、元数据和主数据、数据元素和数据库表、内部数据和外部数据、信息资源标准化等。 |
|
8. |
信息化项目管理审计
(1)信息系统建设经济性审计:了解信息系统建设经济性审计的目的,了解信息系统建设经济性审计事项评价指标,包括信息系统规划经济性、信息系统建设经济性、信息系统应用经济性、信息系统运维经济性等。 (2)信息系统建设管理审计:了解信息系统建设管理审计的目的,了解信息系统建设管理审计事项评价指标,包括项目审批管理、项目建设管理、项目资金管理、项目监督管理、项目验收管理、项目运行管理等。 (3)信息系统绩效审计:了解信息系统绩效审计的目的,了解信息系统绩效审计事项评价指标,包括信息系统总体绩效、管理决策支持能力的绩效、信息资源共享能力的绩效、经济业务协同能力的绩效、系统建设发展能力的绩效、信息系统贡献能力的绩效等。 |
