《国家信息安全评》由会员分享,可在线阅读,更多相关《国家信息安全评(16页珍藏版)》请在金锄头文库上搜索。
1、国家信息安全测评信息安全服务资质申请指南(信息系统审计类一级) (试行)版权2017中国信息安全测评中心2017年8月目录目录2引言3一、认定依据4二、级别划分4三、一级资质要求43.1 基本资格要求53.1.1法律和合同事宜53.1.2公正性管理53.1.3责任和财力63.1.4保密要求63.2 基本能力要求73.2.1 组织与管理要求73.2.2保持公正性委员会73.2.3人员构成与能力要求83.2.4 技术能力要求93.2.5设备、设施与环境要求93.2.5业绩要求93.3 信息系统审计服务过程能力要求103.4 项目和组织过程能力要求10四、资质认定114.1认定流程图114.2申请阶
2、段124.3资格审查阶段124.4能力测评阶段124.4.1静态评估124.4.2现场审核134.4.3综合评定134.4.4资质审定134.5证书发放阶段13五、监督、维持和升级14六、处置14七、争议、投诉与申诉14八、获证组织档案15九、费用及周期15十、联系方式16引言中国信息安全测评中心是经中央批准成立的国家信息安全权威测评机构,职能是开展信息安全漏洞分析和风险评估工作,对信息技术产品、信息系统和工程的安全性进行测试与评估。对信息安全服务和人员的资质进行审核与评价。 中国信息安全测评中心的主要职能是:1. 为信息技术安全性提供测评服务;2. 信息安全漏洞分析;3. 信息安全风险评估;
3、4. 信息技术产品、信息系统和工程安全测试与评估;5. 信息安全服务和信息安全人员资质测评;6. 信息安全技术咨询、工程监理与开发服务。 “信息安全服务资质认定”是对信息安全服务的提供者的技术、资源、法律、管理等方面的资质、能力和稳定性、可靠性进行评估,依据公开的标准和程序,对其安全服务保障能力进行评定和确认。为我国信息安全服务行业的发展和政府主管部门的信息安全管理以及全社会选择信息安全服务提供一种独立、公正的评判依据。本指南适用于所有向CNITSEC申请信息安全服务资质(信息系统审计类一级)的境内外组织。一、 认定依据信息安全服务(信息系统审计类)资质认定是对信息系统审计服务提供者的资格状况
4、、技术实力和信息系统审计服务实施过程质量保证能力等方面的具体衡量和评价。信息安全服务(信息系统审计类)资质级别的评定,是依据信息安全服务资质评估准则和不同级别的信息安全服务资质(信息系统审计类)具体要求,在对申请组织的基本资格、技术实力、信息系统审计服务能力以及审计项目的组织管理水平等方面的评估结果基础上的综合评定后,由中国信息安全测评中心给予相应的资质级别。二、 级别划分信息安全服务(信息系统审计类)资质认定是对信息系统审计服务提供者的综合实力的客观评价和确认,信息安全服务(信息系统审计类)资质级别反映了信息系统审计服务提供者从事信息系统审计服务保障能力的成熟程度。资质级别划分的主要依据包括
5、:基本资格与基本能力要求,信息系统审计服务过程能力要求、项目与组织管理能力要求和其他补充要求等。信息安全服务资质分为五个级别,由一级到五级依次递增,一级是最基本级别,五级为最高级别。 一级:基本执行级二级:计划跟踪级三级:充分定义级四级:量化控制级五级:持续改进级三、 一级资质要求申请信息安全服务(信息系统审计类一级)资质的组织需要在基本资格和基本能力、信息系统审计过程能力和项目与组织过程能力等几个方面符合信息安全服务资质具体要求(信息系统审计类一级)的规定。3.1 基本资格要求3.1.1法律和合同事宜申请信息安全服务(信息系统审计类一级)资质的组织应满足以下相关法律和合同要求: a) 信息系
6、统审计机构应是一个法律实体,或法律实体中明确界定的一部分,如一个较大规模机构中的内部审计部门,以对其所有审计活动承担法律责任;b) 必须遵守国家现行法律、法规的规定,在经营活动中没有违反保密、知识产权保护、不正当竞争等有关法律的行为;c) 信息系统审计机构在开展审计时,必须与审计委托方或被审计方签署具有法律效力的协议,或向被审计方发出具有法律或行政效力的审计通知书;d) 信息系统审计机构应保有审计报告的权力,并应对审计报告负责。3.1.2公正性管理公正性管理是信息系统审计机构保持其独立性的基本条件,应满足以下要求:a) 信息系统审计机构最高管理层应对审计活动的公正性做出承诺。信息系统审计机构应
7、提供公开声明文件,表明机构理解在实施审计活动中公正的重要性,管理利益冲突并确保审计活动的客观性;b) 信息系统审计机构应识别、分析由审计活动引起的利益冲突的可能性并形成文件。利益冲突的潜在来源可能包括来自信息系统审计机构内部或其它人、机构或组织的活动;c) 信息系统审计机构不应就同一审计项目向被审计方提供相关审计咨询活动;d) 当信息系统审计机构与信息技术产品和服务厂商以及咨询机构之间存在利益关系时,信息系统审计机构不应对接受该厂商或咨询机构产品和服务的被审计方进行审计;e) 信息系统审计机构应要求其内部和外部人员,报告他们所知道的任何可能使他们或信息系统审计机构陷入利益冲突的任何事项,并采取
8、相应措施包括回避措施。3.1.3责任和财力信息系统审计机构应具备满足业务运作和承担审计风险所需的财力。信息系统审计机构应:a) 具备与其业务规模相适应的注册资本金和流动资金;b) 应能证明已对审计活动引发的风险进行了评价并做出了安排(如商业保险或储备基金),安排能覆盖其因审计活动所产生的责任;c) 应评价其财务状况和收入来源,并向资质评定机构和保持公正性委员会证实来自商业、财务和其它方面的压力不会损害其公正性。3.1.4保密要求信息系统审计机构应:a) 通过具有法律效力的协议,对机构各层次在审计活动中多产生和获得信息,建立保密制度,采取保密措施;b) 对有关特定被审计方或个人的信息,未经他们书
9、面同意,不应透露给第三方。当法律要求将保密信息提供给第三方时,除非法律另有规定,否则信息系统审计机构应事先将法律要求提供的信息通知当事人;c) 来自其它来源(如投诉人、法定机构)的有关被审计方或个人的信息,应按保密信息处理;d) 任何人员,包括代表信息系统审计机构工作的各种委员会成员、兼职人员、外部机构人员或个人,应对在审计活动中获得的信息保密;e) 应提供和使用可确保保密信息(如文件、纪录)安全处理的设施设备。3.2 基本能力要求3.2.1 组织与管理要求信息系统审计机构的组织结构必须拥有健全的组织和管理体系,为持续的信息系统审计服务提供保障,并有利于提高审计活动的可信任度。应建立和确定对以
10、下工作负责的最高管理层,最高管理层可以是委员会、小组或个人。a) 制定信息系统审计机构运作的方针; b) 信息系统审计服务和制度的开发; c) 监督其方针和制度的实施; d) 监督信息系统审计机构的财务; e) 评价投诉解决的成效; f) 批准审计报告; g) 需要时,授权委员会或个人代表最高管理层开展规定的活动; h) 为认证活动提供充分的,合格的资源等。3.2.2保持公正性委员会信息系统审计机构应建立保持公正性委员会,以保证其审计活动的公正性。保持公正性委员会应:a) 协助制定与审计活动公正性有关的方针;b) 规避信息系统审计机构所有者因出于商业或其它利益考虑而影响信息系统审计机构持续、客
11、观地开展审计活动的任何风险;c) 对影响审计可信度的事项提出建议。保持公正性委员会的组成、授权范围、责任、权限、成员的能力要求和职责均应正式形成文件,并由信息系统审计机构的最高管理层批准以确保:a) 各方利益均衡,使任何一个利益方不处于支配地位;b) 获取所有必要的信息使之能完成自己的职能;c) 如果信息系统审计机构的最高管理层与保持公正性委员会的建议有冲突时,委员会有权采取独立行动(如通知资质评定机构和股东)。采取独立行动时,委员会应尊重与被审计方和信息系统审计机构相关的保密性要求。3.2.3人员构成与能力要求信息系统审计机构应确保其人员具有与审计活动和被审计方业务领域相关的适宜的知识、技能
12、和经验。信息系统审计机构应:a) 有足够的人员从事直接与信息系统审计服务相关的活动,对直接参与审计活动的人员,具有2名或以上的注册信息系统审计师(CISP-A)(其中1名可暂由CISP代替);b) 识别不同被审计业务领域的信息系统审计所需的人员资格和能力要求;c) 识别机构内直接参与审计活动以外的岗位如管理、营销、质量保证等人员的知识和能力要求;d) 识别培训要求,具有获取必要的技术知识和技能的渠道和制度安排,以确保其人员持续满足所需的资格和能力要求; e) 应建立选择、培训、正式授权和监督信息系统审计师以及技术专家的制度,对信息系统审计师的初始能力评价,应包括现场见证审计师的活动;f) 应确
13、保信息系统审计师和技术专家熟悉审计活动、审计方法、审计工具和其它相关要求;g) 应保存参与信息系统审计活动的每一工作人员的相关资格、培训、经历、社会关系、职业状态和能力的最新记录。3.2.4 技术能力要求信息系统审计机构应建设和储备相应的技术条件,以满足信息系统现场审计和非现场审计的需要。信息系统审计机构应:a) 了解信息技术的应用现状和发展趋势,以及新兴信息技术的发展和应用现状;b) 具有较全面的信息系统控制相关领域的专业知识;c) 具有不断的审计和信息系统等相关领域的技术更新能力;d) 掌握影响信息系统安全性、有效性、可靠性等的风险因素,并具备相应的风险评估的能力;e) 具备提出信息系统风
14、险处置建议的能力;f) 具备跟踪、了解、掌握、应用信息系统相关标准的能力,包括国际标准、国家标准、行业标准以及区域组织标准等。3.2.5设备、设施与环境要求信息系统审计机构应具有与其开展审计服务相适应的设备、设施与工作环境,主要包括:a) 具有固定的工作场所,满足工作要求的适宜的工作环境;b) 逐步建设和维护信息系统审计工具库,包括但不限于数据审计、代码审计、流量审计、日志审计、配置审计、常用技术控制措施审计、关键信息基础设施审计等工具;c) 逐步建设信息系统审计实验环境,建设常见被审计信息系统的仿真模拟环境,培养使用工具开展审计的能力。3.2.5业绩要求信息系统审计机构应具有与其申请资质等级
15、相适应的从业经历,主要包括:a) 从业时间;b) 信息系统审计项目数量和规模;c) 联合审计项目参与程度;d) 项目完成结果评价。3.3 信息系统审计服务过程能力要求信息系统审计服务过程能力是评价信息系统审计服务专业水平高低的标志。申请组织应能实施以下9个信息系统审计过程域:1. 编制信息系统审计计划;2. 组建信息系统审计项目组;3. 制定信息系统审计实施方案;4. 组织实施审前调研; 5. 准备信息系统审计工具;6. 实施信息系统审计活动;7. 编制和交付信息系统审计报告;8. 结束信息系统审计活动;9. 实施信息系统审计后续活动。3.4 项目和组织过程能力要求项目和组织过程能力是评价信息系统审计服务规范性和质量保证成熟度标志。申请组织应能实施以下6个项目和组织过程域:1. 审计质量保证;2. 审计风险管理;3. 审计活动监控;4. 审计活动的沟通、协调;
