网络安全审计服务资质认证自评估表.doc

《网络安全审计服务资质认证自评估表.doc》由会员分享，可在线阅读，更多相关《网络安全审计服务资质认证自评估表.doc（13页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 1 页 共 13 页网络安全审计服务资质认证自评估表网络安全审计服务资质认证自评估表填表要求：填表要求：该服务中涉及的程序文件，须经本单位批准并发布。组织名称组织名称申报级别申报级别评估时间评估时间评估部门评估部门/人员人员自评估自评估 结论结论序序 号号要点要点条款条款需提供证明材料需提供证明材料 符符 合合不不 符符 合合证明材料清单证明材料清单1.建立网络安全审计服务流程。提供建立的网络安全审计服务流 程，流程中应包括每个阶段对应 的职责、输入输出等。2.服务技术 要求制定网络安全

2、审计服务规范并按照规范 实施。提供已制定的网络安全审计服务 规范。3.三级初次认证无项目要求。三级初次认证无项目要求。 三级监督要求：三级监督要求：申请三级资质认证的单 位，至少已经完成1个完整的网络安全审 计项目，具备确定审计目标和范围、确 定审计依据的能力；具备实施现场审计、 报告审计发现和形成审计结论的能力； 具备提出审计建议的能力。提供一个已完成的审计项目的合 同、验收的证明材料，包括确定 审计目标和范围、确定审计依据 的能力；实施现场审计、报告审 计发现和形成审计结论的能力； 提出审计建议的能力的证明材料。4.基本资格仅二级要求：仅二级要求：申请二级资质认证的单位， 至少完成 6 个

3、完整的网络安全审计项目个完整的网络安全审计项目； 具备确定审计目标和范围、确定审计依提供 6 个已完成的审计项目的合 同、验收的证明材料，包括确定 审计目标和范围、确定审计依据CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 2 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 据的能力；具备实施现场审计、报告审 计发现和形成审计结论的能力；具备提 出审计建议的能力。的能力；实施现场审计、报告审 计发现和形成审计结论的能力； 提出审计建议的

4、能力的证明材料。5.仅一级要求：仅一级要求：申请一级资质认证的单位， 至少完成 10 个项目，个项目，3 个完整的网络安个完整的网络安 全审计项目全审计项目，项目审计目标应覆盖至少 合规、安全、绩效等；具备确定审计目 标和范围、确定审计依据的能力；具备 实施现场审计、报告审计发现和形成审 计结论的能力；具备提出审计建议的能 力。提供 3 个完整的网络安全审计项 目的合同及验收的证明材料，项 目审计目标应覆盖至少合规、安 全、绩效等；包括确定审计目标 和范围、确定审计依据的能力； 实施现场审计、报告审计发现和 形成审计结论的能力；提出审计 建议的能力的证明材料。6.G1.1.1 a) 编制业务情

5、况调研表，并按照 调研表收集有效信息。提供业务情况调研表7.G1.1.1 b)编制IT情况调研表，并按照调 研表收集有效信息。提供 IT 情况调研表8.（适用于一、二级）（适用于一、二级）G2.1.1 a)编制审 计对象列表，包括审计对象的数量、容 量、功用、版本等属性。提供审计对象列表，应包括审计 对象的数量、容量、功用、版本 等属性9.（适用于一、二级）（适用于一、二级）G2.1.1 b)梳理被 审计方业务逻辑、应用系统处理逻辑和 IT基础设施架构。提供被审计方业务逻辑、应用系 统处理逻辑和 IT 基础设施架构的 分析证明材料10.（适用于一级）（适用于一级）G3.1.1 a)应利用应用

6、系统工具来建立和管理审计对象库。11.审计对象审计对象 识别识别-了解了解 被审计方被审计方 业务和业务和 IT 情况情况（适用于一级）（适用于一级）G3.1.1 b)具备为被审提供利用应用系统工具建立和管 理审计对象库的过程证明（可提 供相关工具的功能介绍、界面截CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 3 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 计方提供审计对象管理工具的能力。图等）12.G1.1.2 a)有效掌握有效

7、掌握被审计方组织结构。提供了解和分析被审计方组织结 构及岗位职责等方法说明，如调 研表等。13.G1.1.2 b)有效掌握有效掌握被审计方IT管理情况。提供了解和分析被审计方 IT 管理 情况的方法说明，如调研表等。14.G1.1.2 c)了解被审计方IT支撑业务的对 应关系。提供了解和分析被审计方 IT 支撑 业务的对应关系说明，如分析表 格模板。15.G1.1.2 d)对网络安全审计的风险进行初 步评价。提供网络安全审计风险评价方法， 如评价程序，评价报告模板等。16.（适用于一、二级）（适用于一、二级）G2.1.2 a) 梳理被 审计方规章制度文件，形成审计项并编 制对应检查表。提供规章

8、制度文件审计项及检查 表模板及案例。17.（适用于一、二级）（适用于一、二级）G2.1.2 b) 编制完 整审计调研报告，并说明审计重点审计 项。提供审计调研报告案例，并说明 审计重点审计项。18.G2.1.2 c)制定审计风险评价准则，评价 审计风险，为确定重点审计项和明确审 计内容提供依据。提供审计风险评价准则，提供审 计风险评价报告案例。 19.审计对象审计对象 调研调研-了解了解 被审计方被审计方 组织管理组织管理 和和 IT 管理管理 情况情况（适用于一级）（适用于一级）G3.1.2 应建立审计调研 报告分级复核程序，明确规定各级复核 人员的要求和责任。提供所建立的审计调研报告分级

9、复核程序，明确规定各级复核人 员的要求和责任。提供复核记录 案例。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 4 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合20.G1.2.1 a）确定网络安全审计项目的目标。21.G1.2.1 b)网络安全审计目标可以包括信 息化政策合规性、网络安全建设和绩效、 政务系统整合和数据共享、个人信息保 护和数据保护、信息化项目建设绩效与 合规、信息系统有效性和可靠性、信息 系统应急响应能力等。提供确

10、定审计目标的方法，如审 计目标描述模板等。22.编制审计编制审计 实施方案实施方案- 确定网络确定网络 安全审计安全审计 目标目标 （适用于一、二级）（适用于一、二级）G2.2.1 网络安全审 计目标应经过评审，并与被审计方达成 一致。提供网络安全审计目标评审记录 案例。23.G1.2.2 a） 应根据具体审计目标，准确 确定审计依据。24.G1.2.2 b）网络安全审计依据可以是国家 法律法规、国际国内相关标准、被审计 方的有关规章程序，以及审计委托方指 定的其它审计依据。提供确定审计依据的方法，如审 计目标与审计依据对应关系表格 模板等。25.（适用于一、二级）（适用于一、二级）G2.2.

11、2 应建立并维 护常用审计依据库，并确保审计依据是 当前适用版本。提供审计依据库目录，并提供审 计依据版本管理的方法。26.（适用于一级）（适用于一级）G3.2.2 a)应利用应用 系统工具来建立和维护常用审计依据库， 并确保审计依据是当前适用版本。27.编制审计编制审计 实施方案实施方案- 确定网络确定网络 安全审计安全审计 依据依据（适用于一级）（适用于一级）G3.2.2 b)具备为被审 计方提供审计依据管理工具的能力。提供利用应用系统工具建立和维 护审计依据库的过程证明（可提 供相关工具的功能介绍、界面截 图等）CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络

12、安全审查技术与认证中心 制 第 5 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合28.G1.2.3 a)应根据审计目标和审计依据， 确定审计范围。审计范围应包括组织机 构范围、业务范围、IT 基础设施和应用 系统范围等。提供确定审计范围的方法，如审 计目标、审计依据和审计范围的 对应关系表格模板等。29.G1.2.3 b)应根据审计依据和范围，确定 审计内容。审计内容应划分到具体审计 事项，明确每一个审计事项的审计要点 和审计方法及所需资源。提供确定审计内容的方法，如审 计依据、审计范围和审计

13、内容的 对应关系表格模板。30.G1.2.3G1.2.3 c)审计方法及所需资源应包 括审计人员、计划时间安排、审计工具， 以及可操作的审计方法和流程。提供不同审计内容对应的审计方 法和所需审计所需资源的模板。31.（适用于一、二级）（适用于一、二级）G2.2.3G2.2.3 应建立审计 范围、审计对象、审计依据要求项、审 计程序（方法）、所需资源的对应关系。提供审计范围、审计对象、审计 依据要求项、审计程序（方法） 、 所需资源的对应关系模板和案例。32.（适用于一级）（适用于一级）G3.2.3G3.2.3 a)a) 应利用应用 系统工具来建立和维护审计范围、审计 对象、审计依据要求项、审计

14、程序（方 法）、所需资源的对应关系。33.编制审计编制审计 实施方案实施方案- 确定网络确定网络 安全审计安全审计 范围和审范围和审 计内容计内容（适用于一级）（适用于一级）G3.2.3b)G3.2.3b)具备为被审 计方提供审计范围、审计对象、审计依 据要求项、审计程序（方法）、所需资 源等对应关系管理工具的能力。提供利用应用系统工具来建立和 维护审计范围、审计对象、审计 依据要求项、审计程序（方法） 、 所需资源的对应关系的过程证明 （可提供相关工具的功能介绍、 界面截图等）34.编制审计编制审计 实施方案实施方案-G1.2.4 a） 应考虑审计目标、审计内容、 审计范围等组建审计组。提供

15、审计组管理相关规定。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 6 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合35.G1.2.4 b） 选择审计组成员应满足通用 评价要求的人员能力要求，同时应满足 审计和网络安全审计基础流程中的人员 能力要求。提供审计组成员能力评价相关规 定。36.（适用于一、二级）（适用于一、二级）G2.2.4 应指定审计 组长、主审和审计组成员，并明确分配 审计任务。提供包括审计组长、主审和审计 组成员的已

16、组建的审计组案例。37.组建审计组建审计 组组（适用于一级）（适用于一级） G3.2.4 对于特定行业领 域的网络安全审计，应具备聘请外部行 业技术专家作为审计组成员的安排。提供对于特定行业领域网络安全 审计项目，能够聘请外部行业技 术专家作为审计组成员的规定。38.G1.3.1 a)应选择适当的方法，在现场审 计或非现场审计活动中获取审计证据。 审计取证的方法可以是访谈、文件和记 录调阅、审计项检查表、系统操作验证、 审计工具、函证等。提供审计取证方法，可以是访谈 提纲、文件和记录调阅单、审计 项检查表、系统操作验证流程、 审计工具、函证模板等之一或多 种。39.G1.3.1 b)在获取审计

17、证据过程中，应选 择适当的抽样方式。提供审计过程中抽样安排的相关 规定。40.G1.3.1G1.3.1 c)应采取必要措施，保证审 计证据的相关性、可靠性和充分性。提供保障审计证据的相关性、可 靠性和充分性的相关措施或规定。41.（适用于一、二级）（适用于一、二级）G2.3.1G2.3.1 a)a) 应具备 至少利用一种网络安全审计工具执行审 计取证的能力。提供至少一种利用网络安全审计 工具执行审计取证的记录。42.审计取证审计取证 与评价与评价-审审 计取证计取证（适用于一、二级）（适用于一、二级）G2.3.1G2.3.1 b)b) 对电子 形式存在的审计证据，应做好取证记录，提供电子形式的

18、审计证据的取证 记录，包括被审计方确认的记录。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 7 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 并经被审计方相关人员确认。43.（适用于一、二级）（适用于一、二级）G2.3.1G2.3.1 c)c) 应采取 必要的措施，保护取证过程中所采集的 电子数据的安全。提供保障电子数据的安全措施或 规定。44.45.（适用于一级）（适用于一级）G3.3.1G3.3.1 a) 应至少具备 和使用数据

19、分析类、漏洞和缺陷扫描类、 系统配置和运行日志检查类等类型的审 计工具的能力。提供数据分析类、漏洞和缺陷扫 描类、系统配置和运行日志检查 类等类型审计工具列表，提供使 用这些工具开展审计的记录（可 以是相关工具的功能介绍、界面 截图等） 。46.（适用于一级）（适用于一级）G3.3.1G3.3.1 b) 利用审计工 具取证时，应采取措施确保对审计对象 的风险最小化。提供使用审计工具开展审计的相 关操作规定，包括降低风险的措 施。47.G1.3.2 a)应在审计取证完成后，编制审 计工作底稿或审计取证单。48.G1.3.2 b)审计工作底稿应内容完整、记 录清晰、结论明确，客观地反映项目审 计方

20、案的编制及实施情况，以及与形成 审计结论、意见和建议有关的所有重要 事项。49.G1.3.2 c)审计工作底稿应经被审计方签 字确认。提供审计工作底稿或审计取证单 模板。50.审计取证审计取证 与评价与评价-编编 制审计工制审计工 作底稿作底稿（适用于一、二级）（适用于一、二级）G2.3.2 a)应建立提供审计工作底稿的分级复核程CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 8 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 审计工作

21、底稿的分级复核程序，明确规 定各级复核人员的要求和责任。序，包括各级复核人员的职责描 述。51.（适用于一、二级）（适用于一、二级）G2.3.2 b)审计工 作底稿的内容应包括但不限于被审计部 门的名称，审计事项及其期间或者截止 日期，审计程序的执行过程及结果记录， 审计结论、意见及建议，审计人员姓名 和审计日期，复核人员姓名、复核日期 和复核意见，编号及页次，被审计方意 见、附件等。提供审计工作底稿案例，底稿内 容包括但不限于被审计部门的名 称，审计事项及其期间或者截止 日期，审计程序的执行过程及结 果记录，审计结论、意见及建议， 审计人员姓名和审计日期，复核 人员姓名、复核日期和复核意见，

22、 编号及页次，被审计方意见、附 件等。52.（适用于一级）（适用于一级）G3.3.2 a)应利用应用 系统工具来归档和保管审计工作底稿。53.（适用于一级）（适用于一级）G3.3.2 b)具备为被审 计方提供审计工作底稿管理工具的能力。提供利用应用系统工具来归档和 保管审计工作底稿的过程证明 （可提供相关工具的功能介绍、 界面截图等） 。54.G1.3.3G1.3.3 a a）应对审计证据与审计依据 的符合性进行评价，以形成审计发现， 审计发现应明确审计项符合或不符合审 计依据的程度，该程度可以用不同级别 来表示。提供审计发现模板。55.G1.3.2G1.3.2 b)网络安全审计评价应客观、

23、公正地反映被审计单位信息系统的真实 情况。提供网络安全审计评价原则或相 关规定。56.编制审计编制审计 工作底稿工作底稿 -审计评价审计评价（适用于一、二级）（适用于一、二级）G2.3.3 应编制审计提供审计发现列表案例。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 9 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 发现列表。 57.（适用于一级）（适用于一级） G3.3.3 a) 应利用应用 系统工具来管理审计发现列表。58.（适

24、用于一级）（适用于一级）G3.3.3 b)具备为被审 计方提供审计发现列表管理工具的能力。提供利用应用系统工具来管理审 计发现的过程证明（可提供相关 工具的功能介绍、界面截图等） 。59.G1.4.1 a)应实事求是地反映被审计事项 的事实。 60.G1.4.1 b)应要素齐全、格式规范，完整 反映审计中发现的重要问题。61.G1.4.1 c)充分考虑审计项目的重要性和 风险水平，对于重要事项应当重点说明。62.G1.4.1 d)提出可行的改进建议，以促进 被审计方信息系统有效支撑其业务的目 标。提供网络安全审计报告模板63.（适用于一、二级）（适用于一、二级）G2.4.1 应建立审计 报告分

25、级复核程序，明确规定各级复核 人员的要求和责任。提供审计报告分级复核程序（可 与 G2.3.2 a)的程序结合） ，包括各 级复核人员的职责描述。64.审计报告审计报告 -一般原则一般原则（适用于一级）（适用于一级）G3.4.1G3.4.1 应利用应用系统 工具来管理审计报告。提供利用应用系统工具来管理审 计报告的过程证明（可提供相关 工具的功能介绍、界面截图等） 。65.审计报告审计报告 -审计报告审计报告 的内容的内容G1.4.2 a)审计报告应完整、准确地反映 审计结果，内容应包括审计概况、审计 依据、审计发现、审计结论、审计意见提供审计报告模板，内容应包括 审计概况、审计依据、审计发现

26、、 审计结论、审计意见等。提供适CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 10 页 共 13 页序序 号号要点要点条款条款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 等。66.G1.4.2 b)需要时，审计报告可以增加附 件。附件内容可包括针对审计过程、审 计中发现问题所作出的具体说明，以及 被审计单位的反馈意见等内容。用的审计报告附件模板。67.（适用于一、二级）（适用于一、二级）G 2.4.2 a）审计报告 中应提出审计发现问题改进建议。提供审计报告案例。报告中应

27、包 括审计发现问题改进建议。68.（适用于一、二级）（适用于一、二级）G2.4.2 应建立程序， 对已经出具的审计报告可能存在的重要 错误或者遗漏及时更正，并将更正后的 审计报告提交给原审计报告接收者。提供审计报告管理规定，包括对 审计报告内容更正及重新提交的 流程进行规定。69.（适用于一级）（适用于一级）G3.4.2在审计的任何阶段， 如果遇到或发现与审计目标和内容有关 的重大问题，如违法违规问题、重大安 全风险等，应出具审计专报。提供审计专报模板或审计专报案 例。70.G1.4.3 a)应建立审计报告的批准和交付 程序，保留交付记录。提供审计报告的批准和交付相关 规定。71.G1.4.3

28、b) 应在审计委托方或被审计方约 定的时间内交付，如延迟交付，应向审 计委托方和被审计方说明理由。提供审计报告的交付管理规定。 包括交付时间安排等。72.审计报告审计报告 -交付审计交付审计 报告报告（适用于一、二级）（适用于一、二级）G2.4.3 a)应建立 审计报告归档和保管程序。任何组织或 者个人查阅和使用归档后的审计报告， 必须经审计机构负责人批准，但国家有 关部门依法进行查阅的除外。提供审计报告归档和保管管理相 关规定。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 11 页 共 13 页序序 号号要点要点条款条款需提供证明

29、材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合73.（适用于一、二级）（适用于一、二级）G2.4.3 b)审计报 告归被审计方所有，被审计方对审计报 告的使用、保管等有明确要求的，应遵 守其要求。提供审计报告管理相关规定，包 括报告的归属安排等。74.（适用于一级）（适用于一级）G3.4.3 具备为被审计方 提供审计报告管理工具的能力。提供为被审计方所用的审计报告 管理工具。75.G1.5.1 a)应安排对审计发现问题的整改 措施和整改措施的效果进行跟踪审计。提供审计发现问题的整改措施模 板。76.G1.5.1 b)应与被审计方约定在规定的时 间

30、内容实施跟踪审计，一般自审计报告 交付起不超过6个月。提供跟踪审计报告的交付管理规 定，包括交付时间安排。77.跟踪审计跟踪审计- 一般原则一般原则（适用于一、二级）（适用于一、二级）G2.5.1 应编制跟踪 审计方案，对后续审计做出安排。提供跟踪审计方案案例。78.G1.5.2 a)应当根据跟踪审计的实施过程 和结果编制跟踪审计报告。提供跟踪审计报告模板，模板中 关键内容需要明确。79.G1.5.2 b)跟踪审计报告的管理参照 G1.4 审计报告。80.（适用于一、二级）（适用于一、二级）G2.5.2 跟踪审计报 告的管理参照 G2.4 审计报告。81.跟踪审计跟踪审计- 跟踪审计跟踪审计

31、报告报告（适用于一级）（适用于一级）G3.5.2 跟踪审计报告的 管理参照G3.4审计报告。提供跟踪审计报告的管理相关规 定。82.G1.6.1 a)应建立审计质量控制程序，以 确保遵守审计相关法规和准则，作出准 确的审计结论。83.审计质量审计质量 控制控制-审计审计 质量控制质量控制 程序程序G1.6.1 b)审计质量控制程序应覆盖审计提供审计质量控制程序，包括审 计质量责任、审计职业道德、审 计人力资源、审计业务执行、审 计质量监控等。CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 12 页 共 13 页序序 号号要点要点条款条

32、款需提供证明材料需提供证明材料自评估自评估 结论结论 证明材料清单证明材料清单 符符 合合不不 符符 合合 质量责任、审计职业道德、审计人力资 源、审计业务执行、审计质量监控等。84.（适用于一、二级）（适用于一、二级）G2.6.1 a)应建立 网络安全审计工作手册，规范网络安全 审计全生命周期内的所有活动。提供适用的网络安全审计工作手 册。85.（适用于一、二级）（适用于一、二级）G2.6.1 b)确保审 计质量控制程序与网络安全审计工作手 册相适应。提供审计质量控制程序与网络安 全审计工作手册，并比较其相关 内容的一致性。86.（适用于一级）（适用于一级）G3.6.1 a)应监督网络 安全

33、审计实施的过程。87.（适用于一级）（适用于一级）G3.6.1 b)应定期开展 网络安全审计质量检查。提供定期开展网络安全审计质量 检查的记录。88.上一年度提出的观察项整改情况（如有）上一年度提出的观察项整改情况（如有）89.90.91.上一年度提出的不符合项整改情况（如有）上一年度提出的不符合项整改情况（如有）92.93.CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表中国网络安全审查技术与认证中心 制 第 13 页 共 13 页自评估结论：自评估结论： 经自主评估，本单位的网络安全审计服务满足信息安全服务 规范 级要求，申请第三方审核。本单位郑重承诺，本单位郑重承诺， 信息安全服务资质认证自评估表信息安全服务资质认证自评估表-公共管理公共管理与本自评估表中所提供全部信息真实可信，且与本自评估表中所提供全部信息真实可信，且 均可提供相应证明材料。均可提供相应证明材料。