信息系统审计类-中国信息安全认证中心.DOC

网络安全审计服务资质认证自评估表 填表要求：该服务中涉及的程序文件，须经本单位批准并发布。 组织名称 申报级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 服务技术要求 建立网络安全审计服务流程。 提供建立的网络安全审计服务流程，流程中应包括每个阶段对应的职责、输入输出等。 制定网络安全审计服务规范并按照规范实施。 提供已制定的网络安全审计服务规范。 基本资格 三级初次无项目要求。 仅二级要求：申请二级资质认证的单位，至少完成6个项目；具备能力具备的能力。 仅一级要求：申请级资质认证的单位，至少完成10项目，3个项目；具备能力具备的能力。3个项目的合同及验收的证明材料； 审计对象识别-了解被审计方业务和IT情况 G1.1.1 a) 编制， 提供业务情况调研表 G1.1.1 b) 编制IT情况调研表，并按照调研表收集有效信息。 提供IT情况调研表 （适用于一、二级）G2.1.1 a) 编制审计对象列表，包括审计对象的数量、容量、功用、版本等属性。 提供审计对象列表，应包括审计对象的数量、容量、功用、版本等属性 （适用于一、二级）G2.1.1 b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。 提供被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构的分析证明材料 （适用于一级）G3.1.1 a) 应利用应用系统工具来建立和管理审计对象库。 提供利用应用系统工具建立和管理审计对象库的过程证明（可提供相关工具的功能介绍、界面截图等） （适用于一级）G3.1.1 b) 具备为被审计方提供审计对象管理工具的能力。 审计对象调研-了解被审计方组织管理和IT管理情况 G1.1.2 a) 有效掌握被审计方组织结构。 提供了解和分析被审计方组织结构及岗位职责 G1.1.2 b) 有效掌握被审计方IT管理情况。 提供了解和分析被审计方IT管理情况的方法说明，如调研表等。 G1.1.2 c) 了解被审计方IT支撑业务的对应关系。 提供了解和分析被审计方IT支撑业务的对应关系说明，如分析表格模板。 G1.1.2 d) 对网络安全审计的风险进行初步评价。 提供网络安全审计风险评价方法，如评价程序，评价报告模板等。 （适用于一、二级）G2.1.2 a) 梳理被审计方规章制度文件，形成审计项并编制对应检查表。 提供规章制度文件审计项及检查表模板及案例。 （适用于一、二级）G2.1.2 b) 编制完整审计调研报告，并说明审计重点审计项。 提供审计调研报告案例，并说明审计重点审计项。 G2.1.2 c) 制定审计风险评价准则，评价审计风险，为确定重点审计项和明确审计内容提供依据。 提供审计风险评价准则，提供审计风险评价报告案例。 （适用于一级）G3.1.2 应建立审计调研报告分级复核程序，明确规定各级复核人员的要求和责任。 提供所建立的审计调研报告分级复核程序，明确规定各级复核人员的要求和责任。提供复核记录案例。 编制审计实施方案-确定网络安全审计目标 G1.2.1 a）确定网络安全审计项目的目标。 G1.2.1 b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。 （适用于一、二级）G2.2.1 网络安全审计目标应经过评审，并与被审计方达成一致。 提供网络安全审计目标评审记录案例。 编制审计实施方案-确定网络安全审计依据 G1.2.2 a） G1.2.2 b） （适用于一、二级）G2.2.2 应建立并维护常用审计依据库，并确保审计依据是当前适用版本。 提供审计依据库目录，并提供审计依据版本管理的方法。 （适用于一级）G3.2.2 a) 应利用应用系统工具来建立和维护常用审计依据库，并确保审计依据是当前适用版本。 提供利用应用系统工具建立和维护审计依据库的过程证明（可提供相关工具的功能介绍、界面截图等） （适用于一级）G3.2.2 b) 具备为被审计方提供审计依据管理工具的能力。 编制审计实施方案-确定网络安全审计范围和审计内容 G1.2.3 a) 应根据审计目标和审计依据，确定审计范围。审计范围应包括组织机构范围、业务范围、IT基础设施和应用系统范围等。 提供确定审计范围的方法，如审计目标、审计依据和审计范围的对应关系表格模板等。