网络安全审计服资质认证自评估表.docVIP

网络安全审计服务资质认证自评估表 填表要求：该服务中涉及的程序文件，须经本单位批准并发布。 组织名称 申报级别 评估时间 评估部门/人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 服务技术要求 建立网络安全审计服务流程。 提供建立的网络安全审计服务流程，流程中应包括每个阶段对应的职责、输入输出等。 制定网络安全审计服务规范并按照规范实施。 提供已制定的网络安全审计服务规范。 基本资格 三级初次认证无项目要求。 三级监督要求：申请三级资质认证的单位，至少已经完成1个完整的网络安全审计项目，具备确定审计目标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。 提供一个已完成的审计项目的合同、验收的证明材料，包括确定审计目标和范围、确定审计依据的能力；实施现场审计、报告审计发现和形成审计结论的能力；提出审计建议的能力的证明材料。 仅二级要求：申请二级资质认证的单位，至少完成6个完整的网络安全审计项目；具备确定审计目标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。 提供6个已完成的审计项目的合同、验收的证明材料，包括确定审计目标和范围、确定审计依据的能力；实施现场审计、报告审计发现和形成审计结论的能力；提出审计建议的能力的证明材料。 仅一级要求：申请一级资质认证的单位，至少完成10个项目，3个完整的网络安全审计项目，项目审计目标应覆盖至少合规、安全、绩效等；具备确定审计目标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。 提供3个完整的网络安全审计项目的合同及验收的证明材料，项目审计目标应覆盖至少合规、安全、绩效等；包括确定审计目标和范围、确定审计依据的能力；实施现场审计、报告审计发现和形成审计结论的能力；提出审计建议的能力的证明材料。 审计对象识别-了解被审计方业务和IT情况 G1.1.1 a) 编制业务情况调研表，并按照调研表收集有效信息。 提供业务情况调研表 G1.1.1 b) 编制IT情况调研表，并按照调研表收集有效信息。 提供IT情况调研表 （适用于一、二级）G2.1.1 a) 编制审计对象列表，包括审计对象的数量、容量、功用、版本等属性。 提供审计对象列表，应包括审计对象的数量、容量、功用、版本等属性 （适用于一、二级）G2.1.1 b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。 提供被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构的分析证明材料 （适用于一级）G3.1.1 a) 应利用应用系统工具来建立和管理审计对象库。 提供利用应用系统工具建立和管理审计对象库的过程证明（可提供相关工具的功能介绍、界面截图等） （适用于一级）G3.1.1 b) 具备为被审计方提供审计对象管理工具的能力。 审计对象调研-了解被审计方组织管理和IT管理情况 G1.1.2 a) 有效掌握被审计方组织结构。 提供了解和分析被审计方组织结构及岗位职责等方法说明，如调研表等。 G1.1.2 b) 有效掌握被审计方IT管理情况。 提供了解和分析被审计方IT管理情况的方法说明，如调研表等。 G1.1.2 c) 了解被审计方IT支撑业务的对应关系。 提供了解和分析被审计方IT支撑业务的对应关系说明，如分析表格模板。 G1.1.2 d) 对网络安全审计的风险进行初步评价。 提供网络安全审计风险评价方法，如评价程序，评价报告模板等。 （适用于一、二级）G2.1.2 a) 梳理被审计方规章制度文件，形成审计项并编制对应检查表。 提供规章制度文件审计项及检查表模板及案例。 （适用于一、二级）G2.1.2 b) 编制完整审计调研报告，并说明审计重点审计项。 提供审计调研报告案例，并说明审计重点审计项。 G2.1.2 c) 制定审计风险评价准则，评价审计风险，为确定重点审计项和明确审计内容提供依据。 提供审计风险评价准则，提供审计风险评价报告案例。 （适用于一级）G3.1.2 应建立审计调研报告分级复核程序，明确规定各级复核人员的要求和责任。 提供所建立的审计调研报告分级复核程序，明确规定各级复核人员的要求和责任。提供复核记录案例。 编制审计实施方案-确定网络安全审计目标 G1.2.1 a）确定网络安全审计项目的目标。 提供确定审计目标的方法，如审计目标描述模板等。 G1.2.1 b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。 （适用于一、二级）G2.2.1 网络安全审计目标应经过评审，并与被审计方达成