信息系统审计类一级-中国信息安全测评中心

中国信息安全评估中心(CNITSEC )信息安全服务资格申请指南(信息系统审计级1级)国家信息安全评价信息安全服务资格申请指南(信息系统审计级1 )(试行)版权2017中国信息安全评估中心2017年8月目录目录2引言3一、认定根据4二、等级划分4三、一级资质要求43.1基本资格要件53.1.1法律和合同事项53.1.2公正性管理53.1.3责任和财力63.1.4保密要求63.2基本能力要求73.2.1组织和管理要求73.2.2保持公正性的委员会73.2.3人员构成和能力要求83.2.4技术能力要求93.2.5设备、设施和环境要求93.2.5业绩要求93.3信息系统审计服务流程能力要求103.4项目和组织过程能力要求10四、资质认定114.1认证流程图114.2申请阶段124.3资格审查阶段124.4能力评价阶段124.4.1静态评价124.4.2现场审查134.4.3综合评定134.4.4资质检定134.5证书发行阶段13五、监督、维持和升级14六、措施14七、争论、投诉和投诉14八、证明机关文件15九、费用和周期15十、联系方式16引言中国信息安全评价中心是经中央批准设立的国家信息安全权威评价机构，功能开展信息安全脆弱性分析和风险评价，对信息技术产品、信息系统和工程安全性进行测试和评价。 审查和评价信息安全服务和人员素质。中国信息安全评价中心的主要作用是：1 .提供评价信息技术安全性的服务2 .信息安全脆弱性分析3 .信息安全风险评估4 .信息技术产品、信息系统和工程安全测试和评价5 .信息安全服务和信息安全工作人员素质评价6、信息安全技术咨询、工程监理和开发服务。“信息安全服务资质认定”在信息安全服务提供商的技术、资源、法律、管理等方面评价资质、能力和稳定性、可靠性，并根据公布的标准和程序评价和确认其安全服务保障能力。 为我国信息安全服务行业的发展和政府主管部门的信息安全管理和整个社会选择信息安全服务提供独立公正的评价依据。本指南适用于向CNITSEC申请信息安全服务资格(信息系统审计级1级)的所有国内外组织。一、认定依据信息安全服务(信息系统审计级)资质认定，在信息系统审计服务提供者的资格情况、技术能力和信息系统审计服务实施过程的质量保证能力等方面进行具体的测量和评价。信息安全服务(信息系统审计级)资质等级的评定，根据与信息安全服务资质评估准则不同水平的信息安全服务资质(信息系统审计级)的具体要求，提供申请组织的基本资格、技术能力、信息系统审计服务能力和审计项目的组织管理水平等二、等级分类信息安全服务(信息系统审计级)认证是对信息系统审计服务提供者的综合实力的客观评价和确认，信息安全服务(信息系统审计级)资格级别是信息系统审计服务提供者服从信息系统审计服务资质等级划分的主要根据是：基本资格和基本能力的要求，信息系统审计服务流程能力的要求，项目和组织管理能力的要求，其他补充要求等。信息安全服务素质分为五个水平，从一级到五级依次增加，一级是最基本的水平，五级是最高的水平。级别1 :基本运行级别第2层：计划跟踪层级别3 :充分定义级别四级：量化控制电平第5级：持续改进的水平三、一级资质要求申请信息安全服务(信息系统审计级一级)资格的组织必须在基本资格和基本能力、信息系统审计流程能力和项目和组织流程能力等几个方面满足信息安全服务资质具体要求（信息系统审计类一级）的规定。3.1基本资格要求3.1.1法律和合同事项申请信息安全服务(信息系统审计级1级)资格的组织应当满足以下相关法律和合同要求a )信息系统审计机关是法律实体，或者是在法律实体中明确定义的一部分。 例如，大型机构的内部审计部门对其所有审计活动负责法律责任b )必须遵守国家现行法律、法规的规定，在经营活动中没有违反保密、知识产权保护、不正当竞争等有关法律的行为c )信息系统审计机构在进行审计时，应当与审计请求人或者被审计人签订具有法律效力的合同，或者向被审计人发出具有法律或者行政效力的审计通知书d )信息系统审计机关应当拥有审计报告的权限，并对审计报告负责。3.1.2公正性管理公正性管理是信息系统审计机构维持独立性的基本条件，必须满足以下要求a )信息系统审计机关的最高管理层承诺审计活动的公正性。 信息系统审计机构必须理解实施审计活动公正的重要性，管理利益冲突，确保审计活动的客观性，提供公开声明书类b )信息系统审计机构必须识别、分析审计活动引起的利害冲突的可能性，并形成文件。 利益冲突的潜在原因可能包括来自信息系统审计机构内部或其他人、机构或组织的活动c )信息系统审计机构不得就同一审计项目提供与被审计者相关的审计咨询活动d )信息系统审计机构、信息技术产品和服务商及咨询机构之间有利益关系的，信息系统审计机构不得对该商家或咨询机构的产品和接受服务的被审计者进行审计e )信息系统审计机构必须向其内部和外部人员报告他们或信息系统审计机构可能陷入利益冲突，并要求采取包括避免措施的措施。3.1.3责任和财力信息系统审计机构必须具有满足业务运营和审计风险的必要财力。 信息系统审计机构应：a )具备与其业务规模相应的注册资本和流动资金b )应当评估审计活动引起的风险，证明已安排的事情(商业保险和储备基金等)，安排能够复盖审计活动引起的责任c )对财务状况和收入来源进行评价，必须向资质评定机构和保持公正性的委员会证明商业、财务和其他方面的压力不会损害公正性。3.1.4保密要求信息系统审计机构应：a )通过法律效力的协议，组织各级在审计活动中生成和获取大量信息，建立保密制度，采取保密措施b )有关特定被审计者或个人的信息，未经他们书面同意，不得向第三方公开。 法律要求向第三方提供秘密信息的，除非法律另有规定，信息系统审计机关应当事先通知当事人法律提供c )来自其他来源(申诉人、法定机构等)的有关被审计者或个人的信息必须以秘密信息进行处理d )保守审计活动中获得的信息的秘密，包括代表信息系统审计机关工作的各种委员会成员、兼职人员、外部机关人员或个人e )必须提供和使用能确保机密信息(文件、记录等)的安全处理的设施设备。3.2基本能力要求3.2.1组织和管理要求信息系统审计机关的组织结构必须有健全的组织和管理系统，有助于为持续的信息系统审计服务提供保障，提高审计活动的可靠性。 必须建立和决定对下一项工作负责的最高经营层。 最高管理层可以是委员会、小组和个人。a )制定信息系统审计机关的运营方针b )开发信息系统审计服务和制度c )监督其方针和制度的实施d )监督信息系统审计机构的财务e )评价解决投诉的效果f )审计报告的批准g )必要时，由认可委员会或个人代表最高经营者进行规定的活动h )为认证活动提供充分、资格的资源等。3.2.2保持公正性的委员会信息系统审计机构必须成立维持公正性的委员会以确保审计活动的公正性。 保持公正性的委员会a )协助制定关于审计活动公正性的方针b )信息系统审计机构所有者为了业务和其他利益，避免信息系统审计机构持续、客观地实施审计活动的风险c )就影响审计可靠性的事项提出建议。保持公正性的委员会的组成、批准范围、责任、权限、成员的能力要求和责任应正式形成文件，由信息系统审计机关的最高管理层批准并保证：a )各方利益均衡，使任何利害关系人不占主导地位b )获得所有必要的信息，完成自己的功能c )信息系统审计机关的最高经营层与维持公正性的委员会的提案发生冲突时，委员会有权采取独立行动(通知资质评价机构和股东等)。 采取独立行动时，委员会必须尊重被审计者和信息系统审计机构相关的机密性要求。3.2.3人员构成和能力要求信息系统审计机构必须确认工作人员具有与审计活动和被审计者业务领域相关的适当知识、技能、经验。 信息系统审计机构应：a )直接参与信息系统审计服务的活动有足够的人员。 直接参与审计活动的人员有2名以上的注册信息系统审计员(CISP-A ) (其中1名可以由CISP代替)。b )识别不同被审计业务领域的信息系统审计所需的人员资格和能力要求c )识别组织内除直接审计活动以外的岗位，如管理、营销、质量保证等人员的知识和能力要求d )识别训练要求，有获得必要的技术知识和技能的途径和制度安排，确保该人员持续满足必要的资格和能力要求e )建立信息系统评审员和技术专家的选择、训练、正式认可和监督制度，信息系统评审员的初始能力评价应包括现场评审员的活动f )信息系统审计员和技术专家必须熟悉审计活动、审计方法、审计工具和其他相关要求g )必须保存参加信息系统审计活动的各员工的资格、训练、经验、社会关系、职业状态和能力的最新记录。3.2.4技术能力要求信息系统审计机构必须建立和储备相应的技术条件，以满足信息系统现场审计和非现场审计的需要。 信息系统审计机构应：a )了解信息技术的应用现状和发展趋势，新兴信息技术的发展和应用现状b )具有比较全面的信息系统控制相关领域的专业知识c )具有持续的审计和信息系统等相关领域的技术更新能力d )掌握影响信息系统安全性、有效性、可靠性等风险因素，具备相应的风险评估能力e )有能力提出信息系统的风险处理方案f )具有跟踪、理解、掌握和应用信息系统标准，如国际标准、国家标准、行业标准、区域组织标准等。3.2.5设备、设施和环境要求信息系统审计机关应当有适合实施审计服务的设备、设施、工作环境。 主要包括以下内容。a )有固定工作场所，有满足工作要求的适当工作环境b )逐步建立和维护信息系统审计工具库，包括但不限于数据审计、代码审计、流量审计、日志审计、配置审计、通用技术控制措施审计和重要信息基础设施审计等工具c )逐步建立信息系统审计实验环境，建立常见的审计信息系统模拟环境，培养使用工具进行审计的能力。3.2.5业绩要求信息系统审计机关应该具有与其申请资格水平相应的经验，主要有以下几点a )上班时间b )信息系统审计项目的数量和规模c )联合审计项目参与度d )项目完成结果的评价。3.3信息系统审计服务流程能力要求信息系统审计服务流程能力是评价信息系统审计服务专业水平的指标。申请组织必须能实施以下九个信息系统审计流程域：1 .制定信息系统审计计划2 .建立信息系统审计项目组3 .制定信息系统审计实施方案4 .组织实施审前调查5 .准备信息系统审计工具6 .实施信息系统审计活动7 .编写和提交信息系统审计报告8 .结束信息系统审计活动9 .实施信息系统审计的后续活动。3.4项目和组织过程能力的要求项目和组织流程能力是评价信息系统审计服务规范性和质量保证成熟度的指标。申请组织必须能够实施以下六个项目和组织流程域：1 .审计质量保证2 .审计风险管理三.监测审计活动4 .审计活动的交流、协调5 .审计机关和审计员的责任和责任6 .审计机关和审计员的职业道德规范要求7 .提供不断发展的技能和知识。四、资质认定4.1认证流程图4.2申请阶段申请组织首先访问CNITSEC网站( )下载信息安全服务资质申请指南(信息系统审计类一级)和信息安全服务资质申请书（信息系统审计类一级）及相关文件，仔细阅读这些文件以了解认证的流程和相关情况，本组织满足一级资格的基本资格要求和基本能力要求申请组织决定申请信息安全服务资格(信息系统审计级1级)后，按照信息安全服务资质申请书（信息系统审计类一级）的要求填写申请书，按印章向CNITSEC提交申请书要求的相关资料。 在向CNITSEC提交申请书之前，必须逐一检查填写的资料的完整性和正确性。4.3资格审查阶段CNITSEC在收到正式申请书、相关资料和申请费后，根据提交的资料进行资格审查，确认申请机构是否满足资格的基本资格要求，确认提交资料是否完整。资格审查包括对申请机构提交的资料的形式审查和对申请机构的进一步调查和交流。 如果在资格审查阶段发现不符合要求的内容，CNITSEC将申请组织的补充资料等。通过资格审查阶段后，CNITSEC与申请组织签订合同，正式受理申请，通知相关费用的缴纳等。4.4能力评价阶段申请组织通过资格审查并缴纳相关费用后，资格申请进入能力评价阶段。能力评价阶段包括静态评价、现场评价、综合评价、资