收藏
下载资源

网络安全审计服务资质认证自评价表

上传人:jiups****uk12 文档编号:90536762 上传时间:2019-06-13 格式:DOC 页数:13 大小:201KB
返回 下载 相关 举报
网络安全审计服务资质认证自评价表_第1页
第1页 / 共13页
网络安全审计服务资质认证自评价表_第2页
第2页 / 共13页
网络安全审计服务资质认证自评价表_第3页
第3页 / 共13页
网络安全审计服务资质认证自评价表_第4页
第4页 / 共13页
网络安全审计服务资质认证自评价表_第5页
第5页 / 共13页
点击查看更多>>
资源描述

《网络安全审计服务资质认证自评价表》由会员分享,可在线阅读,更多相关《网络安全审计服务资质认证自评价表(13页珍藏版)》请在金锄头文库上搜索。

1、CCRC-QOT-0435-B/0 网络安全审计服务资质认证自评估表网络安全审计服务资质认证自评估表填表要求:该服务中涉及的程序文件,须经本单位批准并发布。组织名称申报级别评估时间评估部门/人员序号要点条款需提供证明材料自评估结论证明材料清单符合不符合1.服务技术要求建立网络安全审计服务流程。提供建立的网络安全审计服务流程,流程中应包括每个阶段对应的职责、输入输出等。2.制定网络安全审计服务规范并按照规范实施。提供已制定的网络安全审计服务规范。3.基本资格三级初次认证无项目要求。三级监督要求:申请三级资质认证的单位,至少已经完成1个完整的网络安全审计项目,具备确定审计目标和范围、确定审计依据的

2、能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。提供一个已完成的审计项目的合同、验收的证明材料,包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。4.仅二级要求:申请二级资质认证的单位,至少完成6个完整的网络安全审计项目;具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。提供6个已完成的审计项目的合同、验收的证明材料,包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议

3、的能力的证明材料。5.仅一级要求:申请一级资质认证的单位,至少完成10个项目,3个完整的网络安全审计项目,项目审计目标应覆盖至少合规、安全、绩效等;具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。提供3个完整的网络安全审计项目的合同及验收的证明材料,项目审计目标应覆盖至少合规、安全、绩效等;包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。6.审计对象识别-了解被审计方业务和IT情况G1.1.1 a) 编制业务情况调研表,并按照调研表收集有效信息。提供

4、业务情况调研表7.G1.1.1 b)编制IT情况调研表,并按照调研表收集有效信息。提供IT情况调研表8.(适用于一、二级)G2.1.1 a)编制审计对象列表,包括审计对象的数量、容量、功用、版本等属性。提供审计对象列表,应包括审计对象的数量、容量、功用、版本等属性9.(适用于一、二级)G2.1.1 b)梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。提供被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构的分析证明材料10.(适用于一级)G3.1.1 a)应利用应用系统工具来建立和管理审计对象库。提供利用应用系统工具建立和管理审计对象库的过程证明(可提供相关工具的功能介绍、界面截图等

5、)11.(适用于一级)G3.1.1 b)具备为被审计方提供审计对象管理工具的能力。12.审计对象调研-了解被审计方组织管理和IT管理情况G1.1.2 a)有效掌握被审计方组织结构。提供了解和分析被审计方组织结构及岗位职责等方法说明,如调研表等。13.G1.1.2 b)有效掌握被审计方IT管理情况。提供了解和分析被审计方IT管理情况的方法说明,如调研表等。14.G1.1.2 c)了解被审计方IT支撑业务的对应关系。提供了解和分析被审计方IT支撑业务的对应关系说明,如分析表格模板。15.G1.1.2 d)对网络安全审计的风险进行初步评价。提供网络安全审计风险评价方法,如评价程序,评价报告模板等。1

6、6.(适用于一、二级)G2.1.2 a)梳理被审计方规章制度文件,形成审计项并编制对应检查表。提供规章制度文件审计项及检查表模板及案例。17.(适用于一、二级)G2.1.2 b)编制完整审计调研报告,并说明审计重点审计项。提供审计调研报告案例,并说明审计重点审计项。18.G2.1.2 c)制定审计风险评价准则,评价审计风险,为确定重点审计项和明确审计内容提供依据。提供审计风险评价准则,提供审计风险评价报告案例。 19.(适用于一级)G3.1.2 应建立审计调研报告分级复核程序,明确规定各级复核人员的要求和责任。提供所建立的审计调研报告分级复核程序,明确规定各级复核人员的要求和责任。提供复核记录

7、案例。20.编制审计实施方案-确定网络安全审计目标G1.2.1 a)确定网络安全审计项目的目标。提供确定审计目标的方法,如审计目标描述模板等。21.G1.2.1 b)网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。22.(适用于一、二级)G2.2.1 网络安全审计目标应经过评审,并与被审计方达成一致。提供网络安全审计目标评审记录案例。23.编制审计实施方案-确定网络安全审计依据G1.2.2 a) 应根据具体审计目标,准确确定审计依据。提供确定审计依据的方法,如

8、审计目标与审计依据对应关系表格模板等。24.G1.2.2 b)网络安全审计依据可以是国家法律法规、国际国内相关标准、被审计方的有关规章程序,以及审计委托方指定的其它审计依据。25.(适用于一、二级)G2.2.2 应建立并维护常用审计依据库,并确保审计依据是当前适用版本。提供审计依据库目录,并提供审计依据版本管理的方法。26.(适用于一级)G3.2.2 a)应利用应用系统工具来建立和维护常用审计依据库,并确保审计依据是当前适用版本。提供利用应用系统工具建立和维护审计依据库的过程证明(可提供相关工具的功能介绍、界面截图等)27.(适用于一级)G3.2.2 b)具备为被审计方提供审计依据管理工具的能

9、力。28.编制审计实施方案-确定网络安全审计范围和审计内容G1.2.3 a)应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、IT基础设施和应用系统范围等。提供确定审计范围的方法,如审计目标、审计依据和审计范围的对应关系表格模板等。29.G1.2.3 b)应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审计事项的审计要点和审计方法及所需资源。提供确定审计内容的方法,如审计依据、审计范围和审计内容的对应关系表格模板。30.G1.2.3 c)审计方法及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法和流程。提供不同审计内容

10、对应的审计方法和所需审计所需资源的模板。31.(适用于一、二级)G2.2.3 应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系模板和案例。32.(适用于一级)G3.2.3 a)应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。提供利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系的过程证明(可提供相关工具的功能介绍、界面截图等)33.(适用于一级)G3.2.3b)具备为被审计方提供审计

11、范围、审计对象、审计依据要求项、审计程序(方法)、所需资源等对应关系管理工具的能力。34.编制审计实施方案-组建审计组G1.2.4 a) 应考虑审计目标、审计内容、审计范围等组建审计组。提供审计组管理相关规定。35.G1.2.4 b) 选择审计组成员应满足通用评价要求的人员能力要求,同时应满足审计和网络安全审计基础流程中的人员能力要求。提供审计组成员能力评价相关规定。36.(适用于一、二级)G2.2.4 应指定审计组长、主审和审计组成员,并明确分配审计任务。提供包括审计组长、主审和审计组成员的已组建的审计组案例。37.(适用于一级) G3.2.4 对于特定行业领域的网络安全审计,应具备聘请外部

12、行业技术专家作为审计组成员的安排。提供对于特定行业领域网络安全审计项目,能够聘请外部行业技术专家作为审计组成员的规定。38.审计取证与评价-审计取证G1.3.1 a)应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。提供审计取证方法,可以是访谈提纲、文件和记录调阅单、审计项检查表、系统操作验证流程、审计工具、函证模板等之一或多种。39.G1.3.1 b)在获取审计证据过程中,应选择适当的抽样方式。提供审计过程中抽样安排的相关规定。40.G1.3.1 c)应采取必要措施,保证审计证据的相关性、可靠性

13、和充分性。提供保障审计证据的相关性、可靠性和充分性的相关措施或规定。41.(适用于一、二级)G2.3.1 a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。提供至少一种利用网络安全审计工具执行审计取证的记录。42.(适用于一、二级)G2.3.1 b)对电子形式存在的审计证据,应做好取证记录,并经被审计方相关人员确认。提供电子形式的审计证据的取证记录,包括被审计方确认的记录。43.(适用于一、二级)G2.3.1 c)应采取必要的措施,保护取证过程中所采集的电子数据的安全。提供保障电子数据的安全措施或规定。44.45.(适用于一级)G3.3.1 a)应至少具备和使用数据分析类、漏洞和缺陷

14、扫描类、系统配置和运行日志检查类等类型的审计工具的能力。提供数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型审计工具列表,提供使用这些工具开展审计的记录(可以是相关工具的功能介绍、界面截图等)。46.(适用于一级)G3.3.1 b)利用审计工具取证时,应采取措施确保对审计对象的风险最小化。提供使用审计工具开展审计的相关操作规定,包括降低风险的措施。47.审计取证与评价-编制审计工作底稿G1.3.2 a)应在审计取证完成后,编制审计工作底稿或审计取证单。提供审计工作底稿或审计取证单模板。48.G1.3.2 b)审计工作底稿应内容完整、记录清晰、结论明确,客观地反映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。49.G1

展开阅读全文
相关资源
正为您匹配相似的精品文档
相关搜索

最新文档


当前位置:首页 > 中学教育 > 其它中学文档

电脑版 |金锄头文库版权所有
经营许可证:蜀ICP备13022795号 | 川公网安备 51140202000112号