ImageVerifierCode 换一换
格式:DOC , 页数:13 ,大小:200KB ,
资源ID:218197      下载积分:20 文钱
快捷下载
登录下载
邮箱/手机:
温馨提示:
快捷下载时,用户名和密码都是您填写的邮箱或者手机号,方便查询和重复下载(系统自动生成)。 如填写123,账号就是123,密码也是123。
特别说明:
请自助下载,系统不会自动发送文件的哦; 如果您已付费,想二次下载,请登录后访问:我的下载记录
支付方式: 支付宝    微信支付   
验证码:   换一换

加入VIP,省得不是一点点
 

温馨提示:由于个人手机设置不同,如果发现不能下载,请复制以下地址【https://www.wenke99.com/d-218197.html】到电脑端继续下载(重复下载不扣费)。

已注册用户请登录:
账号:
密码:
验证码:   换一换
  忘记密码?
三方登录: QQ登录   微博登录 

下载须知

1: 本站所有资源如无特殊说明,都需要本地电脑安装OFFICE2007和PDF阅读器。
2: 试题试卷类文档,如果标题没有明确说明有答案则都视为没有答案,请知晓。
3: 文件的所有权益归上传用户所有。
4. 未经权益所有人同意不得将文件中的内容挪作商业或盈利用途。
5. 本站仅提供交流平台,并不能对任何下载内容负责。
6. 下载文件中如有侵权或不适当内容,请与我们联系,我们立即纠正。
7. 本站不保证下载资源的准确性、安全性和完整性, 同时也不承担用户因使用这些下载资源对自己和他人造成任何形式的伤害或损失。

版权提示 | 免责声明

本文(网络安全审计服务资质认证自评估表.doc)为本站会员(创****公)主动上传,文客久久仅提供信息存储空间,仅对用户上传内容的表现方式做保护处理,对上载内容本身不做任何修改或编辑。 若此文所含内容侵犯了您的版权或隐私,请立即通知文客久久(发送邮件至hr@wenke99.com或直接QQ联系客服),我们立即给予删除!

网络安全审计服务资质认证自评估表.doc

1、CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 1 页 共 13 页 网络安全 审计 服务 资质 认证 自评估表 填表要求: 该服务中涉及 的 程序文件,须经本单位批准并发布。 组织名称 申报 级别 评估时间 评估部门 /人员 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 1. 服务技术要求 建立 网络安全审计 服务流程。 提供 建立 的 网络安全审计 服务 流程 , 流程中应包括每个阶段对应的职责、输入输出等。 2. 制定 网络安全审计 服务 规范并按照规范实施。 提供 已制定的 网络安全审计

2、服务规范 。 3. 基本资格 三级 初次 认证 无项目要求。 三级 监督 要求 : 申请三级资质认证的单位,至少已经完成 1个完整的 网络安全审计 项目,具备确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论的能力;具备提出审计建议的能力。 提供 一个已完成 的审计 项目的合同、验收的证明材料,包括 确定审计目标和 范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力; 提出审计建议的能力 的证明材料。 4. 仅二级要求: 申请二级资质认证的单位,至少完成 6 个 完整的 网络安全审计 项目 ;具备 确定审计目标和范围、确定审计依据的能力;

3、具备实施现场审计、报告 审计发提供 6 个已完成 的审计 项目的合同、验收的证明材料, 包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 2 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 现和形成审计结论 的 能力 ; 具备 提出审计建议 的能力。 和形成审计结论的能力;提出审计建议的能力的证明材料。 5. 仅一级要求: 申请 一 级资质认证的单位,至少完成 10 个 项目, 3 个 完整的 网络安全审计 项目

4、,项目审计目标应覆盖至少合规、安全、绩效等 ; 具备 确定审计目标和范围、确定审计依据的能力;具备实施现场审计、报告审计发现和形成审计结论 的能力 ; 具备 提出审计建议 的能力。 提供 3 个 完整的 网络安全审 计 项目的合同及验收的证明材料 ,项目审计目标应覆盖至少合规、安全、绩效等 ; 包括确定审计目标和范围、确定审计依据的能力;实施现场审计、报告审计发现和形成审计结论的能力;提出审计建议的能力的证明材料。 6. 审计对象识别 -了解被审计方业务和 IT情况 G1.1.1 a) 编制 业务情况调研表 , 并按照调研表收集有效信息。 提供 业务情况调研表 7. G1.1.1 b) 编制

5、IT情况调研表,并按照调研表收集有效信息。 提供 IT 情况调研表 8. (适用于一、二级) G2.1.1 a) 编制审计对象列表,包括审计 对象的数量、容量、功用、版本等属性。 提供 审计对象列表, 应 包括审计对象的数量、容量、功用、版本等属性 9. (适用于一、二级) G2.1.1 b) 梳理被审计方业务逻辑、应用系统处理逻辑和 IT基础设施架构。 提供 被审计方业务逻辑、应用系统处理逻辑和 IT 基础设施架构 的分析证明材料 10. (适用于一级) G3.1.1 a) 应利用应用系统工具来建立和管理审计对象库。 提供利用应用系统工具建立和管理审计对象库的过程证明(可提供相关工具的功能介

6、绍、界面截图等) 11. (适用于一级) G3.1.1 b) 具备为被审计方提供审计对象管理工具的能力。 12. 审计对象 G1.1.2 a) 有效掌握 被审计方组织结构。 提供 了解 和分析 被审计方组织结 CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 3 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 调研 -了解被审计方组织管理和 IT管理情况 构 及岗位 职责 等方法说明,如调研表等 。 13. G1.1.2 b) 有效掌握 被审计方 IT管理情况。 提供 了解 和分析

7、被审计方 IT 管理情况 的 方法说明,如调研表等。 14. G1.1.2 c) 了解被审计方 IT支撑业务的对应关系。 提供 了解和分析 被审计方 IT 支撑业务的对应关系 说明,如分析表格模板 。 15. G1.1.2 d) 对 网络安全审计 的风险进行初步评价。 提供 网络安全审计 风险 评价方法,如评价程序, 评价 报告 模板等。 16. (适用于一、二级) G2.1.2 a) 梳理被审计方规章 制度 文件,形成审计项并编制对应检查表。 提供 规章制度文件 审计项及检查表 模板及案例。 17. (适用于一、二级) G2.1.2 b) 编制完整审计调研报告,并说明审计重点审计项。 提供

8、审计调研报告 案例 ,并说明审计重点审计项 。 18. G2.1.2 c) 制定审计风险评价准则,评价审计风险, 为确定重点审计项和明确审计内容提供依据。 提供审计 风险评价准则, 提供 审计风险 评价报告案例。 19. (适用于一级) G3.1.2 应建立审计调研报告分级复核 程序 ,明确规定各级复核人员的要求和责任。 提供 所建立的 审计调研报告分级复核 程序 ,明确规定各级复核人员的要求和责任。 提供复核记录案例。 20. 编制审计实施方案 -确定 网络G1.2.1 a)确定 网络安全审计 项目的目标 。 提供 确定 审计目标 的方法,如审计目标描述模板等 。 21. G1.2.1 b)

9、 网络安全审计 目标可以包括信息化政策合规性、网络安全建设和绩效、 CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 4 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 安全审计目标 政务系统整合和数据共享、个人 信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等 。 22. (适用于一、二级) G2.2.1 网络安全审计目标应经过评审,并与被审计方达成一致 。 提供 网络安全审计 目标评审记录案例 。 23. 编制审计实施方案 -确定 网络

10、安全审计依据 G1.2.2 a) 应根据具体审计目标,准确确定审计依据 。 提供 确定审计依据的方法,如审计目标与审计依据对应关系表格模板等。 24. G1.2.2 b) 网络安全审计 依据可以是国家法律法规、国际国内相关标准、被审计方的有关规章程 序,以及审计委托方指定的其它审计依据 。 25. (适用于一、二级) G2.2.2 应建立并维护常用审计依据库,并确保审计依据是当前适用版本。 提供 审计依据库 目录 ,并提供审计依据版本 管理 的 方法 。 26. (适用于一级) G3.2.2 a) 应利用应用系统工具来建立和维护常用审计依据库,并确保审计依据是当前适用版本。 提供利用应用系统工

11、具建立和 维护审计依据库的 过程证明(可提供相关工具的功能介绍、界面截图等) 27. (适用于一级) G3.2.2 b) 具备为被审计方提供审计依据管理工具的能力。 28. 编制审计实施方案 -确定 网络安全审计G1.2.3 a) 应根据审计目标和审计依据,确定审计范围。审计范围应包括组织机构范围、业务范围、 IT 基础设施和应用系统范围等。 提供 确定 审计范围 的方法 , 如审计目标、审计依据和审计范围的对应关系表格模板等 。 CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 5 页 共 13 页 序号 要点 条款 需提供

12、证明材料 自评估结论 证明材料清单 符合 不符合 29. 范围和审计内容 G1.2.3 b) 应根据审计依据和范围,确定审计内容。审计内容应划分到具体审计事项,明确每一个审计事项的审计要点 和审计方法 及所需资源。 提供 确定 审计内容 的方法,如审计依据、审计范围和审计内容的对应关系表格模板 。 30. G1.2.3 c) 审计方法 及所需资源应包括审计人员、计划时间安排、审计工具,以及可操作的审计方法和流程。 提供 不同审计内容对应的审计方法和所需审计所需资源的模板。 31. (适用于一、二级) G2.2.3 应建立审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系。

13、 提供 审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源 的 对应关系 模板 和案例 。 32. (适用于一级) G3.2.3 a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源 的对应关系。 提供利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源的对应关系 的 过程证明(可提供相关工具的功能介绍、界面截图等) 33. (适用于一级) G3.2.3b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序(方法)、所需资源等对应关系管理工具的能力。 34. 编制审计实施方案 -组建审

14、计组 G1.2.4 a) 应考虑审计目标、审计内容、审计范围等组建审计组。 提供 审计组 管理相关规定 。 35. G1.2.4 b) 选择审计组成员应满 足通用评价要求的人员能力要求 , 同时应满足审计和 网络安全审计 基础流程中的人员能力要求。 提供 审计组成员能力评价相关规定。 36. (适用于一、二级) G2.2.4 应指定审计组 提供 包 括 审计 组长、主审和审计组 CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 6 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 长、

15、主审和审计组成员,并明确分配审计任务。 成员 的已组建的审计组案例 。 37. (适用于一级) G3.2.4 对于特 定 行业领域的 网络安全审计 ,应具备聘请外部行业技术专家作为审计组成员的安排。 提供 对于特 定 行业 领域 网络安全审计 项目 , 能够 聘请外部行业技术专家作为审计组成员的 规定。 38. 审计取证与评价 -审计取证 G1.3.1 a) 应选择适当的方法,在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。 提供 审计取证 方法 , 可以是访谈 提纲 、文件和记录调阅 单 、审计项检查表、系统操

16、作验证 流程 、审计工具、函证 模板 等 之一 或多种 。 39. G1.3.1 b) 在获取审计证据过程中,应选择适当的抽样方式。 提供 审计过程中 抽样 安排的相关规定。 40. G1.3.1 c) 应采取必要措施,保证审计证据的相关性、可靠性和充分性 。 提供 保障 审计 证据的相关性、可靠性和充分性 的 相关 措施 或规定 。 41. (适用于一、二级) G2.3.1 a) 应具备至少利用一种 网络安全审计 工具执行审计取证的能力。 提供 至少 一种 利用 网络安全审计工具执行审计取证的 记录 。 42. (适用于一、二级) G2.3.1 b) 对电子形式存在的审计证据,应做好取证记录

17、,并经被审计方相关人员确认。 提供 电子形式的 审计证据 的 取证记录 , 包括被审计方 确认 的 记录。 43. (适用于一、二级) G2.3.1 c) 应采取必要的措施,保护取证过程中所采集的电子数据的安全。 提供保障 电子数据的安全措施 或规定 。 44. CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 7 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 45. (适用于一级) G3.3.1 a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的

18、审计工具的能力。 提供数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型审计工具 列表,提供使用这些工具 开展审计的 记录 (可 以是 相关工具的功能介绍、界面截图等) 。 46. (适用于一级) G3.3.1 b) 利用审计工具取证时,应采取措施确保对审计对象的风险最小化。 提供 使用 审计 工具开展审计的相关操作规定,包括降低 风险 的 措施。 47. 审计取证与评价 -编制审计工作底稿 G1.3.2 a) 应在审计取证完成后,编制审计工作底稿或审计取证单。 提供 审计 工作底稿或审计取证单模板 。 48. G1.3.2 b) 审计工作底稿应内容完整、记录清晰、结论明确,客观地反

19、映项目审计方案的编制及实施情况,以及与形成审计结论、意见和建议有关的所有重要事项。 49. G1.3.2 c) 审计工作底稿应经被审计方签字确认。 50. (适用于一、二级) G2.3.2 a) 应建立审计工作底稿的分级复核 程序 ,明确规定各级复核人员的要求和责任。 提供 审 计工作底稿的 分级复核 程序 , 包括 各级复核人员的 职责 描述 。 51. (适用于一、二级) G2.3.2 b) 审计工作底稿的内容应包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、复核日期和复核提供 审计工作底

20、稿 案例 , 底稿内容包括但不限于被审计部门的名称,审计事项及其期间或者截止日期,审计程序的执行过程及结果记录,审计结论、意见及建议,审计人员姓名和审计日期,复核人员姓名、CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 8 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 意见,编号及页次,被审计方意见、附件等。 复核日期和复核意见,编号及页次,被审计方意见、附件等。 52. (适用于一级) G3.3.2 a) 应利用应用系统工具来归档和保管审计工作底稿。 提供利用 应用系统工具 来

21、归档和保管审计工作底稿的过程证明(可提供相关工具的功能介绍、界面截图等) 。 53. (适用于一级) G3.3.2 b) 具备为被审计方提供审计工作底稿管理工具的能力。 54. 编制审计工作底稿 -审计评价 G1.3.3 a) 应对审计证据与审计依据的符合性进行评价,以形成审计发现,审计发现应明确审计项符合或不符合审计依据的程度,该程度 可以用不同级别来表示。 提供 审计发现 模板 。 55. G1.3.2 b) 网络安全审计 评价应客观、公正地反映被审计单位信息系统的真实情况。 提供 网络安全审计 评价 原则 或相关规定。 56. (适用于一、二级) G2.3.3 应编制审计发现列表 。 提

22、供审计发现列表 案例。 57. (适用于一级) G3.3.3 a) 应利用应用系统工具来管理审计发现列表。 提供利用应用系统工具来管理审计发现 的 过程证明(可提供相关工具的功能介绍、界面截图等) 。 58. (适用于一级) G3.3.3 b) 具备为被审计方提供 审计发现列表管理工具的能力。 59. 审计报告 -一般原则 G1.4.1 a) 应实事求是地反映被审计事项的事实。 提供 网络安全审计 报 告 模板 60. G1.4.1 b) 应要素齐全、格式规范,完整反映审计中发现的重要问题。 61. G1.4.1 c) 充分考虑审计项目的重要性和 CCRC-QOT-0435-B/0 网络安全

23、审计 服务资质认证自评估表 中国 网络安全审查技术与 认证中心 制 第 9 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 风险水平,对于重要事项应当重点说明。 62. G1.4.1 d) 提出可行的改进建议,以促进被审计方信息系统有效支撑其业务的目标。 63. (适用于一、二级) G2.4.1 应建立 审计报告分级复核 程序 , 明确规定各级复核人员的要求和责任 。 提供 审计报告分级复核 程序 (可与G2.3.2 a)的 程序结合 ) , 包括 各级复核人员的 职责描述 。 64. (适用于一级) G3.4.1 应 利用应用系统工具来管理审计报告

24、。 提供利用应用系统工具来管理审计 报告 的过程证明(可提供相关工具的功能介绍、界面截图等) 。 65. 审计报告 -审计报告的内容 G1.4.2 a) 审计报告应完整、准确地反映审计结果,内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。 提供 审计报告 模板 , 内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等 。 提供 适用的审计报告 附件 模板 。 66. G1.4.2 b) 需要时,审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出的具体说明,以及被审计单位的反馈意见等内容。 67. (适用于一、二级) G 2.4.2 a) 审计报告中应提

25、出审计发现问题改进建议。 提供审计报告案例。报告中应包括审计发现问题改进建议 。 68. (适用于一、二级) G2.4.2 应建立程序,对 已经出具 的审计报告可能 存在 的 重要错误或者遗漏及时更正,并将更正后的审计报告提交给原审计报告接收者。 提 供 审计 报告 管理 规定 , 包括 对审计报告内容更正及重新提交的流程进行规定 。 69. (适用于一级) G3.4.2在审计的任何阶段,如果遇到或发现与审计目标和内容有关的重大问题,如违法违规问题、重大安全提供审计专报 模板 或审计专报案例。 CCRC-QOT-0435-B/0 网络安全 审计 服务资质认证自评估表 中国 网络安全审查技术与

26、认证中心 制 第 10 页 共 13 页 序号 要点 条款 需提供证明材料 自评估结论 证明材料清单 符合 不符合 风险等,应出具审计专报。 70. 审计报告 -交付审计报告 G1.4.3 a) 应建立审计报告的批准和交付程序,保留交付记录。 提供 审计报告的批准和交付 相关规定。 71. G1.4.3b) 应在审计委托方或被审计方约定的时间内交付,如延迟交付,应向审计委托方和被审计方说明理 由。 提供 审计报告的交付 管理规定 。 包括交付时间安排等 。 72. (适用于一、二级) G2.4.3 a) 应建立审计报告归档和保管 程序 。任何组织或者个人查阅和使用归档后的审计报告,必须经审计机

27、构负责人批准,但国家有关部门依法进行查阅的除外。 提供 审计报告归档和保管 管理相关规定 。 73. (适用于一、二级) G2.4.3 b) 审计报告归被审计方所有,被审计方对审计报告的使用、保管等有明确要求的,应遵守其要求。 提供 审计报告 管理相关规定,包括报告的 归属 安排等 。 74. (适用于一级) G3.4.3 具备为 被审计方提供审计报告管理工具的能力。 提供 为 被审计方 所用的 审计报告管理工具 。 75. 跟踪审计 -一般原则 G1.5.1 a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。 提供 审计发现问题的整改措施 模板。 76. G1.5.1 b) 应与被审计方约定在规定的时间内容实施跟踪审计,一般自审计报告交付起不超过 6个月。 提供 跟踪 审计报告的交付 管理规定,包括交付时间安排。 77. (适用于一、二级) G2.5.1 应编制跟踪审计方案,对后续审计做出安排。 提供 跟踪审计方案 案例。

Copyright © 2018-2021 Wenke99.com All rights reserved

工信部备案号浙ICP备20026746号-2  

公安局备案号:浙公网安备33038302330469号

本站为C2C交文档易平台,即用户上传的文档直接卖给下载用户,本站只是网络服务中间平台,所有原创文档下载所得归上传人所有,若您发现上传作品侵犯了您的权利,请立刻联系网站客服并提供证据,平台将在3个工作日内予以改正。