信息系統(tǒng)審計類一級

1、國家信息安全測評信息安全服務(wù)資質(zhì)申請指南（信息系統(tǒng)審計類一級）?版權(quán)2017中國信息安全測評中心2017年8月目錄目錄2引言3一、認定依據(jù) 4二、級別劃分4三、一級資質(zhì)要求43.1基本資格要求53.1.1法律和合同事宜 53.1.2公正性管理 53.1.3責任和財力 63.1.4保密要求63.2基本能力要求73.2.1組織與管理要求 73.2.2保持公正性委員會 73.2.3人員構(gòu)成與能力要求 83.2.4技術(shù)能力要求 83.2.5設(shè)備、設(shè)施與環(huán)境要求 93.2.5業(yè)績要求93.3信息系統(tǒng)審計服務(wù)過程能力要求 93.4項目和組織過程能力要求 10四、資質(zhì)認定 114.1認定流程圖114.2申請

2、階段124.3資格審查階段124.4能力測評階段124.4.1靜態(tài)評估124.4.2現(xiàn)場審核 134.4.3綜合評定134.4.4資質(zhì)審定134.5證書發(fā)放階段13五、監(jiān)督、維持和升級 14六、處置14七、爭議、投訴與申訴 14八、獲證組織檔案15九、費用及周期15十、聯(lián)系方式16引言中國信息安全測評中心是經(jīng)中央批準成立的國家信息安全權(quán)威測評機構(gòu)， 職 能是開展信息安全漏洞分析和風險評估工作， 對信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程 的安全性進行測試與評估。對信息安全服務(wù)和人員的資質(zhì)進行審核與評價。中國信息安全測評中心的主要職能是：1. 為信息技術(shù)安全性提供測評服務(wù)；2. 信息安全漏洞分析；3. 信息

3、安全風險評估；4. 信息技術(shù)產(chǎn)品、信息系統(tǒng)和工程安全測試與評估；5. 信息安全服務(wù)和信息安全人員資質(zhì)測評；6. 信息安全技術(shù)咨詢、工程監(jiān)理與開發(fā)服務(wù)?！靶畔踩?wù)資質(zhì)認定”是對信息安全服務(wù)的提供者的技術(shù)、資源、法 律、管理等方面的資質(zhì)、能力和穩(wěn)定性、可靠性進行評估，依據(jù)公開的標準和程 序，對其安全服務(wù)保障能力進行評定和確認。為我國信息安全服務(wù)行業(yè)的發(fā)展和 政府主管部門的信息安全管理以及全社會選擇信息安全服務(wù)提供一種獨立、公正的評判依據(jù)。本指南適用于所有向CNITSEC申請信息安全服務(wù)資質(zhì)（信息系統(tǒng)審計類一 級）的境內(nèi)外組織。一、認定依據(jù)信息安全服務(wù)（信息系統(tǒng)審計類）資質(zhì)認定是對信息系統(tǒng)審計服

4、務(wù)提供者的 資格狀況、技術(shù)實力和信息系統(tǒng)審計服務(wù)實施過程質(zhì)量保證能力等方面的具體衡 量和評價。信息安全服務(wù)（信息系統(tǒng)審計類）資質(zhì)級別的評定，是依據(jù)信息安全服務(wù) 資質(zhì)評估準則和不同級別的信息安全服務(wù)資質(zhì)（信息系統(tǒng)審計類）具體要求， 在對申請組織的基本資格、技術(shù)實力、信息系統(tǒng)審計服務(wù)能力以及審計項目的組 織管理水平等方面的評估結(jié)果基礎(chǔ)上的綜合評定后，由中國信息安全測評中心給予相應(yīng)的資質(zhì)級別。二、級別劃分信息安全服務(wù)（信息系統(tǒng)審計類）資質(zhì)認定是對信息系統(tǒng)審計服務(wù)提供者的 綜合實力的客觀評價和確認，信息安全服務(wù)（信息系統(tǒng)審計類）資質(zhì)級別反映了信息系統(tǒng)審計服務(wù)提供者從事信息系統(tǒng)審計服務(wù)保障能力的成熟程度

5、。資質(zhì)級別劃分的主要依據(jù)包括：基本資格與基本能力要求，信息系統(tǒng)審計服務(wù)過程能力要 求、項目與組織管理能力要求和其他補充要求等。信息安全服務(wù)資質(zhì)分為五個級別，由一級到五級依次遞增，一級是最基本級 別，五級為最咼級別。一級：基本執(zhí)行級二級：計劃跟蹤級三級：充分定義級四級：量化控制級五級：持續(xù)改進級三、一級資質(zhì)要求申請信息安全服務(wù)（信息系統(tǒng)審計類一級）資質(zhì)的組織需要在基本資格和基本能力、信息系統(tǒng)審計過程能力和項目與組織過程能力等幾個方面符合信息安全服務(wù)資質(zhì)具體要求（信息系統(tǒng)審計類一級）的規(guī)定。3.1基本資格要求3.1.1法律和合同事宜申請信息安全服務(wù)（信息系統(tǒng)審計類一級）資質(zhì)的組織應(yīng)滿足以下相關(guān)法律

6、 和合同要求：a）信息系統(tǒng)審計機構(gòu)應(yīng)是一個法律實體， 或法律實體中明確界定的一部分, 如一個較大規(guī)模機構(gòu)中的內(nèi)部審計部門，以對其所有審計活動承擔法律 責任；b）必須遵守國家現(xiàn)行法律、法規(guī)的規(guī)定，在經(jīng)營活動中沒有違反保密、知 識產(chǎn)權(quán)保護、不正當競爭等有關(guān)法律的行為；c）信息系統(tǒng)審計機構(gòu)在開展審計時，必須與審計委托方或被審計方簽署具 有法律效力的協(xié)議，或向被審計方發(fā)出具有法律或行政效力的審計通知 書；d）信息系統(tǒng)審計機構(gòu)應(yīng)保有審計報告的權(quán)力，并應(yīng)對審計報告負責。3.1.2公正性管理公正性管理是信息系統(tǒng)審計機構(gòu)保持其獨立性的基本條件，應(yīng)滿足以下要 求：a）信息系統(tǒng)審計機構(gòu)最高管理層應(yīng)對審計活動的公正

7、性做出承諾。信息系 統(tǒng)審計機構(gòu)應(yīng)提供公開聲明文件，表明機構(gòu)理解在實施審計活動中公正 的重要性，管理利益沖突并確保審計活動的客觀性；b）信息系統(tǒng)審計機構(gòu)應(yīng)識別、分析由審計活動引起的利益沖突的可能性并 形成文件。利益沖突的潛在來源可能包括來自信息系統(tǒng)審計機構(gòu)內(nèi)部或 其它人、機構(gòu)或組織的活動；c）信息系統(tǒng)審計機構(gòu)不應(yīng)就同一審計項目向被審計方提供相關(guān)審計咨詢活 動；d）當信息系統(tǒng)審計機構(gòu)與信息技術(shù)產(chǎn)品和服務(wù)廠商以及咨詢機構(gòu)之間存在 利益關(guān)系時，信息系統(tǒng)審計機構(gòu)不應(yīng)對接受該廠商或咨詢機構(gòu)產(chǎn)品和服 務(wù)的被審計方進行審計；e）信息系統(tǒng)審計機構(gòu)應(yīng)要求其內(nèi)部和外部人員，報告他們所知道的任何可 能使他們或信息系統(tǒng)

8、審計機構(gòu)陷入利益沖突的任何事項，并采取相應(yīng)措 施包括回避措施。3.1.3責任和財力信息系統(tǒng)審計機構(gòu)應(yīng)具備滿足業(yè)務(wù)運作和承擔審計風險所需的財力。信息系 統(tǒng)審計機構(gòu)應(yīng)：a）具備與其業(yè)務(wù)規(guī)模相適應(yīng)的注冊資本金和流動資金；b）應(yīng)能證明已對審計活動引發(fā)的風險進行了評價并做出了安排（如商業(yè)保 險或儲備基金），安排能覆蓋其因?qū)徲嫽顒铀a(chǎn)生的責任；c）應(yīng)評價其財務(wù)狀況和收入來源，并向資質(zhì)評定機構(gòu)和保持公正性委員會 證實來自商業(yè)、財務(wù)和其它方面的壓力不會損害其公正性。3.1.4保密要求信息系統(tǒng)審計機構(gòu)應(yīng)：a）通過具有法律效力的協(xié)議，對機構(gòu)各層次在審計活動中多產(chǎn)生和獲得信 息，建立保密制度，采取保密措施；b）對有

9、關(guān)特定被審計方或個人的信息，未經(jīng)他們書面同意，不應(yīng)透露給第 三方。當法律要求將保密信息提供給第三方時，除非法律另有規(guī)定，否 則信息系統(tǒng)審計機構(gòu)應(yīng)事先將法律要求提供的信息通知當事人；c）來自其它來源（如投訴人、法定機構(gòu)）的有關(guān)被審計方或個人的信息， 應(yīng)按保密信息處理；d）任何人員，包括代表信息系統(tǒng)審計機構(gòu)工作的各種委員會成員、兼職人 員、外部機構(gòu)人員或個人，應(yīng)對在審計活動中獲得的信息保密；e）應(yīng)提供和使用可確保保密信息（如文件、紀錄）安全處理的設(shè)施設(shè)備。3.2基本能力要求3.2.1組織與管理要求信息系統(tǒng)審計機構(gòu)的組織結(jié)構(gòu)必須擁有健全的組織和管理體系， 為持續(xù)的信 息系統(tǒng)審計服務(wù)提供保障，并有利于

10、提高審計活動的可信任度。應(yīng)建立和確定對 以下工作負責的最高管理層，最高管理層可以是委員會、小組或個人。a）制定信息系統(tǒng)審計機構(gòu)運作的方針；b）信息系統(tǒng)審計服務(wù)和制度的開發(fā)；c）監(jiān)督其方針和制度的實施；d）監(jiān)督信息系統(tǒng)審計機構(gòu)的財務(wù)；e）評價投訴解決的成效；f）批準審計報告；g）需要時，授權(quán)委員會或個人代表最高管理層開展規(guī)定的活動；h）為認證活動提供充分的，合格的資源等。3.2.2保持公正性委員會信息系統(tǒng)審計機構(gòu)應(yīng)建立保持公正性委員會，以保證其審計活動的公正性。 保持公正性委員會應(yīng)：a）協(xié)助制定與審計活動公正性有關(guān)的方針；b）規(guī)避信息系統(tǒng)審計機構(gòu)所有者因出于商業(yè)或其它利益考慮而影響信息系 統(tǒng)審計

11、機構(gòu)持續(xù)、客觀地開展審計活動的任何風險；c）對影響審計可信度的事項提出建議。保持公正性委員會的組成、授權(quán)范圍、責任、權(quán)限、成員的能力要求和職責 均應(yīng)正式形成文件，并由信息系統(tǒng)審計機構(gòu)的最高管理層批準以確保：a）各方利益均衡，使任何一個利益方不處于支配地位；b）獲取所有必要的信息使之能完成自己的職能；C）如果信息系統(tǒng)審計機構(gòu)的最高管理層與保持公正性委員會的建議有沖突 時，委員會有權(quán)采取獨立行動（如通知資質(zhì)評定機構(gòu)和股東）。采取獨立 行動時，委員會應(yīng)尊重與被審計方和信息系統(tǒng)審計機構(gòu)相關(guān)的保密性要 求。3.2.3人員構(gòu)成與能力要求信息系統(tǒng)審計機構(gòu)應(yīng)確保其人員具有與審計活動和被審計方業(yè)務(wù)領(lǐng)域相關(guān) 的適

12、宜的知識、技能和經(jīng)驗。信息系統(tǒng)審計機構(gòu)應(yīng)：a）有足夠的人員從事直接與信息系統(tǒng)審計服務(wù)相關(guān)的活動，對直接參與審 計活動的人員，具有2名或以上的注冊信息系統(tǒng)審計師（CISP-A）（其中 1名可暫由CISP代替）；b）識別不同被審計業(yè)務(wù)領(lǐng)域的信息系統(tǒng)審計所需的人員資格和能力要求；c）識別機構(gòu)內(nèi)直接參與審計活動以外的崗位如管理、營銷、質(zhì)量保證等人 員的知識和能力要求；d）識別培訓要求，具有獲取必要的技術(shù)知識和技能的渠道和制度安排，以 確保其人員持續(xù)滿足所需的資格和能力要求；e）應(yīng)建立選擇、培訓、正式授權(quán)和監(jiān)督信息系統(tǒng)審計師以及技術(shù)專家的制 度，對信息系統(tǒng)審計師的初始能力評價，應(yīng)包括現(xiàn)場見證審計師的活動

13、；f）應(yīng)確保信息系統(tǒng)審計師和技術(shù)專家熟悉審計活動、審計方法、審計工具 和其它相關(guān)要求；g）應(yīng)保存參與信息系統(tǒng)審計活動的每一工作人員的相關(guān)資格、培訓、經(jīng)歷、 社會關(guān)系、職業(yè)狀態(tài)和能力的最新記錄。3.2.4技術(shù)能力要求信息系統(tǒng)審計機構(gòu)應(yīng)建設(shè)和儲備相應(yīng)的技術(shù)條件，以滿足信息系統(tǒng)現(xiàn)場審計 和非現(xiàn)場審計的需要。信息系統(tǒng)審計機構(gòu)應(yīng)：a）了解信息技術(shù)的應(yīng)用現(xiàn)狀和發(fā)展趨勢，以及新興信息技術(shù)的發(fā)展和應(yīng)用 現(xiàn)狀；b）具有較全面的信息系統(tǒng)控制相關(guān)領(lǐng)域的專業(yè)知識；C）具有不斷的審計和信息系統(tǒng)等相關(guān)領(lǐng)域的技術(shù)更新能力；d）掌握影響信息系統(tǒng)安全性、有效性、可靠性等的風險因素，并具備相應(yīng) 的風險評估的能力；e）具備提出信息

14、系統(tǒng)風險處置建議的能力；f）具備跟蹤、了解、掌握、應(yīng)用信息系統(tǒng)相關(guān)標準的能力，包括國際標準、 國家標準、行業(yè)標準以及區(qū)域組織標準等。3.2.5設(shè)備、設(shè)施與環(huán)境要求信息系統(tǒng)審計機構(gòu)應(yīng)具有與其開展審計服務(wù)相適應(yīng)的設(shè)備、設(shè)施與工作環(huán) 境，主要包括：a）具有固定的工作場所，滿足工作要求的適宜的工作環(huán)境；b）逐步建設(shè)和維護信息系統(tǒng)審計工具庫，包括但不限于數(shù)據(jù)審計、代碼審 計、流量審計、日志審計、配置審計、常用技術(shù)控制措施審計、關(guān)鍵信 息基礎(chǔ)設(shè)施審計等工具；c）逐步建設(shè)信息系統(tǒng)審計實驗環(huán)境，建設(shè)常見被審計信息系統(tǒng)的仿真模擬 環(huán)境，培養(yǎng)使用工具開展審計的能力。3.2.5業(yè)績要求信息系統(tǒng)審計機構(gòu)應(yīng)具有與其申請

15、資質(zhì)等級相適應(yīng)的從業(yè)經(jīng)歷，主要包括：a）從業(yè)時間；b）信息系統(tǒng)審計項目數(shù)量和規(guī)模；c）聯(lián)合審計項目參與程度；d）項目完成結(jié)果評價。3.3信息系統(tǒng)審計服務(wù)過程能力要求信息系統(tǒng)審計服務(wù)過程能力是評價信息系統(tǒng)審計服務(wù)專業(yè)水平高低的標志。 申請組織應(yīng)能實施以下9個信息系統(tǒng)審計過程域：1. 編制信息系統(tǒng)審計計劃；2. 組建信息系統(tǒng)審計項目組；3. 制定信息系統(tǒng)審計實施方案；4. 組織實施審前調(diào)研；5. 準備信息系統(tǒng)審計工具；6. 實施信息系統(tǒng)審計活動；7. 編制和交付信息系統(tǒng)審計報告；8. 結(jié)束信息系統(tǒng)審計活動；9. 實施信息系統(tǒng)審計后續(xù)活動。3.4項目和組織過程能力要求項目和組織過程能力是評價信息系統(tǒng)

16、審計服務(wù)規(guī)范性和質(zhì)量保證成熟度標志。申請組織應(yīng)能實施以下6個項目和組織過程域：1. 審計質(zhì)量保證；2. 審計風險管理；3. 審計活動監(jiān)控；4. 審計活動的溝通、協(xié)調(diào)；5. 審計機構(gòu)和審計人員的職責和責任；6. 審計機構(gòu)和審計人員職業(yè)道德規(guī)范要求；7. 提供不斷發(fā)展的技能和知識。四、資質(zhì)認定4.1認定流程圖申請階段資格審查階段能力測評階段證書發(fā)放階段證后監(jiān)督階段4.2申請階段申請組織應(yīng)首先到 CNITSEC網(wǎng)站（ ）查看并下載信 息安全服務(wù)資質(zhì)申請指南（信息系統(tǒng)審計類一級）和信息安全服務(wù)資質(zhì)申請書（信息系統(tǒng)審計類一級）及有關(guān)附件，認真閱讀上述文檔，了解資質(zhì)認定的流 程及相關(guān)情況，確定本組織滿足一

17、級資質(zhì)的基本資格要求和基本能力要求。申請組織當決定申請信息安全服務(wù)資質(zhì)（信息系統(tǒng)審計類一級）后，根據(jù)信 息安全服務(wù)資質(zhì)申請書（信息系統(tǒng)審計類一級）的要求填寫申請書、加蓋公章 并將申請書中所要求的相關(guān)資料一起提交給CNITSECo在向CNITSEC遞交申請書前，須逐項檢查所填報的材料的完整性和正確性。4.3資格審查階段CNITSEC接到正式申請書及相關(guān)資料以及申請費后，根據(jù)所提交的資料進 行資格審查，以確認申請單位是否滿足資質(zhì)的基本資格要求， 提交資料是否完整。資格審查包括對申請單位所提交資料進行的形式化審查以及對申請單位的 進一步調(diào)查和溝通。如果資格審查階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSE

18、C將要求申請組織補充資料等。當通過資格審查階段后，CNITSEC將與申請組織簽訂合同，正式受理該申 請，并通知相關(guān)費用的繳納事宜等。4.4能力測評階段當申請組織通過資格審查并繳納了相關(guān)費用后，資質(zhì)申請進入能力測評階 段。能力測評階段包括靜態(tài)評估、現(xiàn)場審核、綜合評定和資質(zhì)審定四個步驟。4.4.1靜態(tài)評估靜態(tài)評估是對申請組織資料進行符合性審查，是對申請組織的信息系統(tǒng)審計 服務(wù)能力做出基本判斷，初步確定申請組織的信息系統(tǒng)審計服務(wù)能力水平狀況，為現(xiàn)場審核做準備。如果靜態(tài)評估階段發(fā)現(xiàn)有不符合要求的內(nèi)容，CNITSEC將要求申請組織進一步補充資料，以便反映申請組織的客觀情況。4.4.2現(xiàn)場審核現(xiàn)場審核是對

19、申請組織從事信息系統(tǒng)審計服務(wù)的綜合能力（包括技術(shù)能力、 管理能力、質(zhì)量保證、設(shè)施設(shè)備、工作環(huán)境、人員構(gòu)成及素質(zhì)、經(jīng)營業(yè)績、資產(chǎn) 狀況等方面）進行核實和確認。通過靜態(tài)評估后，CNITSEC將與申請組織溝通現(xiàn)場審核事宜，安排審核組 進行現(xiàn)場審核?，F(xiàn)場審核若發(fā)現(xiàn)需整改的不符合項，審核組將對申請組織提出限期整改的要 求，并對整改效果進行驗證。4.4.3綜合評定在綜合評定階段，將依據(jù)靜態(tài)評估和現(xiàn)場審核結(jié)果，對申請組織的基本資格、 基本能力、信息系統(tǒng)審計服務(wù)能力以及資質(zhì)所要求的其他內(nèi)容進行綜合評定，出具綜合評定報告。對評定結(jié)果不符合的，CNITSEC將要求申請組織限期整改。申請組織完成 整改并向CNITS

20、EC提交整改報告后，CNITSEC將對整改結(jié)果進行驗證，整改仍 不符合的，將不能通過能力測評。逾期未整改的，視作整改不符合。4.4.4資質(zhì)審定根據(jù)綜合評定的報告，CNITSEC技術(shù)委員會將組織技術(shù)專家對申請組織的 信息系統(tǒng)審計服務(wù)資質(zhì)進行審查，并最終做出是否通過的決定。4.5證書發(fā)放階段資質(zhì)審定通過后，CNITSEC將進行資質(zhì)證書的制作、審批和發(fā)放，并在網(wǎng) 站、報刊雜志等媒體上公布獲證組織的相關(guān)信息。五、監(jiān)督、維持和升級獲得資質(zhì)的組織需通過持續(xù)發(fā)展自身信息安全服務(wù)體系以保持基本能力及 信息系統(tǒng)審計服務(wù)過程能力。CNITSEC將通過申訴系統(tǒng)、現(xiàn)場見證以及對信息 系統(tǒng)審計服務(wù)項目進行抽樣檢查來驗證

21、每個獲得資質(zhì)組織的能力。證書在三年有效期內(nèi)實行年確認制度，每三年進行一次維持換證。獲證后，每年在證書簽發(fā)之日前 30天內(nèi)，獲證組織要向CNITSEC提交年 度調(diào)查表，并到CNITSEC辦理年檢。CNITSEC年檢中發(fā)現(xiàn)獲證組織不符合資質(zhì) 認定要求的，將要求其限期整改，整改后仍不合格，CNITSEC將暫?；蛉∠C書。在證書有效到期前90天（建議更早），由獲證組織提出維持換證申請（申請 流程同首次申請）。CNITSEC將依據(jù)信息安全服務(wù)資質(zhì)維持有關(guān)政策進行評審， 以確定獲證組織符合信息系統(tǒng)審計服務(wù)能力一級資質(zhì)要求的持續(xù)性。若獲證組織相關(guān)資料變動時，須及時通知 CNITSEC，并申請更改。若獲證組織實體發(fā)生變化，需要進行資質(zhì)證書的轉(zhuǎn)移，可到CNITSEC網(wǎng)站（）下載并填寫信息安全服務(wù)資質(zhì)變更申請書， 并提出資 質(zhì)轉(zhuǎn)移申請。獲證組織獲證后，可根據(jù)自身能力的提升情況，向CNITSEC申請二級資質(zhì)。六、處置獲證組織存在違規(guī)行為時