《信息技术服务 治理 安全审计》征求意见稿

ICS35.080

177

团体标准

T/CESAXXXX—2019

信息技术服务治理安全审计

InformationtechnologyService-governance-SecurityAudit

征求意见稿

（在提交反馈意见时，请将您知道的相关专利连同支持性文件一并附上）

2019--发布2019-XX-实施

中国电子工业标准化技术协会发布

T/CESAXXXX-2019

III

T/CESAXXXX-2019

前言

T/CESAXXXXX属于GB/T34960《信息技术服务治理》总标题下的一部分：

----第1部分（即GB/T34960.1-2017《信息技术服务治理第1部分：通用要求》）

----第2部分（即GB/T34960.2-2017《信息技术服务治理第2部分：实施指南》）

----第3部分（即GB/T34960.3-2017《信息技术服务治理第3部分：绩效评价》）

----第4部分（即GB/T34960.4-2017《信息技术服务治理第4部分：审计导则》）

----第5部分（即GB/T34960.5-2018《信息技术服务治理第5部分：数据治理规范》）

----第6部分（即GB/T34960.6《信息技术服务治理第6部分：:风险管理》）

----第7部分（即GB/T34960.7《信息技术服务治理第7部分：数据审计》）

----第8部分（即GB/T34960.8《信息技术服务治理第8部分：安全审计》）

本标准按照GB/T1.1-2009给出的规则起草。

请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。

本部分由中国电子技术标准化研究院提出。

本标准起草单位：

本标准主要起草人：

IV

T/CESAXXXX-2019

信息技术服务治理安全审计

1规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T34960.1信息技术服务治理第1部分：通用要求

GB/T34960.4信息技术服务治理第4部分：审计导则

2范围

T/CESAXXXXX的本部分规定了安全审计总则、安全审计组织管理、安全审计人员、安全审计业

务、安全审计流程、安全审计报告、安全审计适用对象和范围等内容。

本部分适用于：

a)组织治理主体实施安全审计监督职能；

b)建立或完善组织的安全审计体系；

c)明确组织安全审计过程中的相关要求；

d)规范组织安全审计业务的开展；

e)第三方或其他相关机构开展安全审计的指导

f)建立或未建立内部安全审计机构的组织，均可聘请第三方依据本标准的相关要求开展IT安全

审计。

各级各类信息化主管部门、监管机构及审计监督机构，可根据法律法规、部门规章的要求，使用本

标准对所管辖各类组织的安全审计提出要求，并进行监督。

3术语和定义

3.1

安全审计securityAudit

根据安全审计标准的要求，对网络、信息、数据、云计算、人工智能、区块链等安全系统及相

关的内部控制和流程进行检查、评价，发表审计意见，并提出改进意见和建议。

3.2

安全内部控制securityinternalcontrol

是由组织治理主体和全体员工实施的、旨在实现安全控制目标的过程。内部控制要素包括网

络、信息、数据、云计算、人工智能、区块链等安全控制环境、风险评估、控制活动、信息与沟通及

内部监督。

3.3

安全组织控制securityorganizationcontrol

在安全组织层面建立并实施的相关控制，控制要素包括控制环境、风险评估、控制活动、信息

与沟通及内部监督。

5

T/CESAXXXX-2019

3.4

安全组织控制审计securityorganizationcontrolaudit

对安全组织层面控制开展的审计。

3.5

安全一般控制securitygeneralcontrol

为了保证网络、信息、数据、云计算、人工智能、区块链等安全，对整个网络以及外部各种环

境要素实施的安全控制。

3.6

安全一般控制审计securitygeneralcontrolaudit

对安全一般控制开展的审计。

3.7

安全应用控制securityapplicationcontrol

在业务流程层面为合理保证应用系统安全、可靠、有效运行，而设计、执行的安全控制。

3.8

安全应用控制审计securityapplicationcontrolaudit

对安全应用控制开展的审计。

4安全审计总则

4.1审计与治理的关系

安全治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化，安全审计是监控和评价

不可或缺的任务。

4.2审计结构及其关系

安全审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计工作的执

行、审计人员、审计业务、审计流程及审计报告。组织应建立安全审计组织管理体系，并根据审计规章

制度、依据、方法、技术、质量控制、工作执行、人员、业务、流程及报告等的要求，开展安全审计活

动。

4.3审计依据

安全审计依据包括但不限于：

a)国家网络安全、信息安全、云安全及数据安全等相关法律、法规及标准；

b)行业网络安全、信息安全、云安全及数据安全等相关规范及标准；

c)地方网络安全、信息安全、云安全及数据安全等相关规范及标准；

d)组织网络安全、信息安全、云安全及数据安全等相关规范及标准；

e)国际网络安全、信息安全、云安全及数据安全等相关标准；

f)国内网络安全、信息安全、云安全及数据安全等最佳实践。

4.4审计方法

组织的安全审计方法要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.5审计技术

6

T/CESAXXXX-2019

组织的安全审计技术要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.6审计质量控制

组织的安全审计质量控制要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.7审计业务类型

安全审计业务类型包括安全内部控制审计和安全专项审计。安全内部控制审计是为了综合评价组织

安全控制目标实现过程而进行的审计；安全专项审计是组织根据外部要求及内部特殊需要而进行的审

计。安全审计可作为独立的审计项目实施，或作为综合性审计项目的组成部分组织实施。

当安全审计作为综合性审计项目的一部分时，安全审计人员在进行审计计划时应考虑项目审计目标

及要求，在审计实施过程中应及时与其他相关审计人员沟通安全审计中的发现，并考虑依据安全审计结

果调整其他相关审计的范围、时间及性质。

安全审计人员应当以风险导向为基础开展审计，风险评估应当贯穿于审计的全过程。

5安全审计组织管理

组织的安全审计组织管理通用要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》同

时还应：

a)为安全审计开展创造必要的环境；

b)明确审计机构的职责和权力；

c)在审计章程中明确安全审计的相关要求；

d)制定安全审计战略规划

e)制定安全审计相关制度、流程及操作规程等；

f)建立安全审计平台。

6安全审计人员要求

组织的安全审计人员要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

7安全内部控制审计

7.1总则

安全内部控制审计是为了综合评价组织安全控制目标实现过程而进行的审计。安全内部控制审计是

组织常规审计内容的一部分。

7.2安全组织控制审计

7.2.1控制环境

审计安全控制环境时，审计范围包括但不限于：

a）组织遵循的安全治理总则；

b）安全战略与业务战略的一致性；

c）决策层的安全风险偏好及风险容忍度；

d）安全治理的职责分工和制衡机制；

7

T/CESAXXXX-2019

e）安全内部控制的监督机制；

f）安全内部控制机构的设置、职责与权限；

g）内部审计机构设置、人员配备和工作独立性；

h）制定和实施的人力资源政策；

i）……。

7.2.2风险评估

审计安全风险评估时，审计范围包括但不限于：

a）安全风险管理目标和策略；

b）安全风险管理原则；

c）安全风险管理组织，包括组织架构、责任人、角色、职责和权限等；

d）安全风险管理制度；

e）安全风险管理流程；

f）安全风险识别、风险分析、风险评价及风险处置的执行情况；

g）……。

7.2.3控制活动

7.2.3.1通用要求

审计组织层面安全控制活动通用要求时，审计范围包括但不限于：

a）安全控制政策与流程；

b）安全授权与审批控制；

c）安全预算控制；

d）安全信息记录与报告；

e）资产保护；

f）安全绩效考核；

g）安全不相容职责分离。

7.2.3.2顶层设计

审计安全顶层设计时，审计范围包括但不限于：

a）安全战略规划；

b）安全组织；

c）安全架构

7.2.4信息与沟通

审计安全信息与沟通时，审计范围包括但不限于：

a）信息系统安全架构及其对财务、业务流程的支持度；

b）决策层有关安全的信息沟通模式；

c）安全战略、政策及制度等方面的传达与沟通的连续性、完整性及有效性；

d）组织对安全风险内部控制所需要信息的明确；

e）……。

7.2.5内部监督

审计安全内部监督时，审计范围包括但不限于：

a）安全风险三道防线建立的合规性；

8

T/CESAXXXX-2019

b）组织的安全监控管理报告系统、监控反馈、跟踪处理程序；

c）安全内部控制的自我评估机制；

d）……。

7.3安全一般控制审计

7.3.1通用要求

审计安全一般控制通用要求时，审计范围包括但不限于：

a）安全控制政策与流程；

b）安全授权与审批控制；

c）安全预算执行与监控；

d）安全信息记录与报告；

e）资产保护；

f）安全绩效考核；

g）不相容职责分离。

7.3.2系统安全

a）系统建设安全

b）系统运营安全

c）系统研发运营一体化安全

d）……

7.3.3网络运行安全

审计网络运行安全时，应依据《中华人民共和国网络安全法》等相关规定，包括但不限于：

a）一般规定中的国家网络安全等级保护制度落实情况；

b）一般规定中的其他事项；

c）关键信息基础设施的运行安全。

7.3.4网络信息安全

审计网络信息安全时，应依据《中华人民共和国网络安全法》等相关规定，审计范围包括但不限于：

a）用户信息保护制度的建立；

b）收集、使用公民个人信息遵循的原则与规则；

c）对公民个人信息安全的防护措施；

d）对用户发布的信息的管理；

e）……。

7.3.5监测预警与应急处置

审计监测预警与应急处置时，应依据《中华人民共和国网络安全法》等相关规定，审计范围包括但

不限于：

a)网络安全应急工作机制的建立；

b)网络安全事件应急预案的制定；

c)网络安全事件应急预案的定期演练、记录、分析与总结等；

d)……。

7.3.6新技术安全

9

T/CESAXXXX-2019

审计新技术安全时，审计范围包括但不限于：

a)新技术安全管理目标、方针和策略；

b)新技术安全管理组织的建立；

c)新技术安全战略；

d)……。

7.4应用安全控制审计

审计应用安全控制时，审计范围包括但不限于：

a）应用安全管理目标、方针和策略；

b）应用安全管理组织的建立；

c）应用安全管理制度和流程；

d）应用安全信息分类和保护体系；

e）……

f）

8安全专项审计

8.1总则

除常规的安全内部控制审计外，组织应根据外部要求及内部特殊需要，设计安全专项审计以满足审

计战略要求。安全专项审计包括（但不限于）网络安全管理专项审计、个人信息安全管理专项审计、信

息安全管理专项审计、数据安全管理专项审计、服务安全管理专项审计、云安全管理专项审计、人工智

能安全专项审计等。

8.2网络安全专项审计

网络安全管理专项审计范围包括但不限于：

a）通用要求；

b）网络运行安全，包括一般规定中的国家网络安全等级保护制度落实等情况、关键信息基础设施

的运行安全；

c）网络信息安全；

d）监测预警与应急处置，包括网络安全应急工作机制的建立、网络安全事件应急预案的制定、网

络安

e）全事件应急预案演练等。

8.3个人信息保护专项审计

个人信息保护专项审计范围包括但不限于：

a)个人信息保护目标、方针和策略；

b)个人信息保护的组织管理；

c)个人信息保护制度和流程；

d)个人信息分类和保护体系；

e)个人信息保护事件管理

f)风险评估与审计机制的建立

10

T/CESAXXXX-2019

……。

8.4信息安全管理专项审计

信息安全专项审计范围包括但不限于：

a)信息安全管理目标、方针和策略；

b)信息安全管理组织的建立，包括责任人、角色、职责及权限等；

c)信息安全管理制度和流程；

d)信息安全信息分类和保护体系；

e)信息安全事件管理，包括事件定义、分组分类标准、事件上报、处理及事后总结等；

f)人力资源安全，包括入职前、在职期间及离职前的安全管理；

g)信息安全教育和培训，包括信息安全意识、策略、法律、法规、制度、业务控制等；

h)物理安全，包括访问安全及环境安全等；

i)系统开发安全，包括系统安全需求、系统安全原则及系统安全设计；

j)网络安全，包括网络架构、网络服务、网络性能及网络控制等；

k)设备安全，包括设备的登记、使用、维修及报废等；

l)操作系统安全，包括操作系统选型、参数配置、使用及更新等；

m)应用系统安全，包括应用系统架构、参数配置、使用、更新及系统下线等；

n)数据安全，包括数据的获取、保存、使用、维护、传输及销毁安全等；

o)业务连续性管理，包括组织架构、业务连续性计划及演练、应急管理、灾备管理；

p)供应商管理，包括供应商的选择、签约、管理制度及服务过程的评估等。

q)风险评估与审计机制的建立

8.5数据安全专项审计

数据安全管理审计范围包括但不限于：

a)数据安全管理目标、方针和策略；

b)数据安全管理组织的建立；

c)数据安全管理制度、流程；

d)数据的分级分类和保护机制；

e)数据的合规与隐私保护；

f)数据标准与数据模型；

g)数据安全事件管理；

h)人力资源安全；

i)安全教育和培训；

j)物理安全；

k)系统开发安全；

l)网络安全；

m)设备安全；

n)操作系统安全；

o)应用系统安全；

p)数据生存周期的安全，包括数据的获取、保存、使用、维护、传输及销毁安全等；

q)业务连续性管理；

r)数据供应商管理；

s)……

11

T/CESAXXXX-2019

8.6供方安全管理专项审计

供方安全管理专项审计范围包括但不限于：

a)供方安全管理目标、方针和策略；

b)供方安全管理组织的建立；

c)供方安全管理制度和流程；

d)供应链安全评估机制；

e)组织商业秘密、知识产权及个人隐私的保护；

f)供方管理活动的开展

g)风险评估与审计机制的建立

……

8.7云安全管理专项审计

云安全管理专项审计范围包括但不限于：

a)云安全管理目标、方针和策略；

b)云安全管理组织的建立；

c）云安全战略管理；

d)云安全信息分类和保护体系

e)云安全管理制度和流程；

d)私有云安全活动的开展；

f)公有云/社区云安全活动的开展

g)云数据安全；

h)风险评估与审计机制的建立

……。

8.8信息系统生命周期安全管理专项审计

信息系统生命周期安全管理是指对系统建设、运营、使用、消亡等整个过程的安全进行管理，专项

审计范围包括但不限于：

a)信息系统生命周期安全管理目标、方针和策略；

b)信息系统生命周期安全管理组织的建立；

c）信息系统生命周期安全战略；

d)信息系统生命周期安全管理制度和流程；

e)信息系统应用安全

f)信息系统研发安全

g)信息系统运营安全

h)信息系统研发运营一体化安全

i)风险评估与审计机制的建立

……

8.9创新技术安全管理专项审计

创新技术安全管理专项审计范围包括但不限于：

a)创新技术管理目标、方针和策略制定与实施的风险；

12

T/CESAXXXX-2019

b)创新技术管理组织建设的风险；

c）创新技术战略制定与实施的风险；

d)创新技术管理制度、流程制定与执行的风险；

e)投入资金预算规划及管理的风险

f)创新技术应用的风险

g)大数据技术应用的风险

h)云计算技术应用的风险

i)人工智能技术应用的风险

j)区块链技术应用的风险

k)边缘计算技术应用的风险

l)通信与物联技术应用的风险

m)开源技术应用的风险

……

8.10终端安全专项审计

终端安全专项审计范围包括但不限于：

a)终端安全管理目标和策略；

b)终端安全管理组织的建立；

c)终端安全管理制度和流程；

d)终端安全的分级分类和保护机制；

e)终端生命周期管理；

f)终端应用安全

g)终端系统安全；

h)终端网络安全；

i)虚拟桌面安全；

g)移动终端安全

h)支付终端安全

i)物联终端安全

j)智能终端安全；

k)终端风险评估与审计机制

……。

8.11（移动）互联网应用安全专项审计

（移动）互联网应用安全专项审计范围包括但不限于：

a)（移动）互联网应用安全管理目标和策略；

b)（移动）互联网应用安全管理组织的建立；

c)（移动）互联网应用安全战略

d)（移动）互联网应用安全管理制度和流程；

e)（移动）互联网应用安全的分级分类和保护机制；

g)（移动）互联网应用合规与隐私保护

h)（移动）互联网应用建设安全

i)（移动）互联网应用运营安全；

j)（移动）互联网应用内容安全；

13

T/CESAXXXX-2019

k)（移动）互联网应用风险评估与审计机制

……。

9安全审计流程

安全审计流程见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

10安全审计报告

安全审计报告要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》

附录A（规范性附录）总体风险管理

参考文献

14

T/CESAXXXX-2019

附录A

（规范性附录）

安全审计系统

A.1概述

安全审计系统属于GB34960.4《信息技术服务治理第4部分：审计导则》中审计平台的一部分，是

在审计中充分利用信息技术管理和支持完成相关安全审计工作的信息系统。

A.2安全审计系统的规划

对安全审计系统进行规划时，至少应：

a)明确安全审计系统建设目标；

b)与组织的业务战略、信息化战略保持一致；

c)……

A.3安全审计系统的建设

安全审计系统的建设应纳入组织信息化建设体系进行规范管理，包括但不限于：

a)安全审计系统的建设方式；

b)安全审计系统的立项管理；

c)安全审计系统的项目管理等

A.4安全审计系统的应用

安全审计系统的应用应进行规范管理，包括但不限于：

a)安全审计系统应用的组织架构；

b)安全审计系统应用的制度与流程；

c)安全审计系统应用的模型管理

d)安全审计系统应用的安全管理；

……。

A.5安全审计系统运行

安全审计系统的运行应进行规范管理，包括但不限于：

e)安全审计系统运行的组织管理；

f)安全审计系统运行的制度与流程；

g)安全审计系统运行的安全管理；

……

15

T/CESAXXXX-2019

参考文献

A

16

T/CESAXXXX-2019

目次

目次.................................................................................II

前言.............................................................................IV

信息技术服务治理安全审计............................................................5

1规范性引用文件......................................................................5

2范围................................................................................5

3术语和定义..........................................................................5

4安全审计总则........................................................................6

4.1审计与治理的关系................................................................6

4.2审计结构及其关系................................................................6

4.3审计依据........................................................................6

4.4审计方法........................................................................6

4.5审计技术........................................................................6

4.6审计质量控制....................................................................7

4.7审计业务类型....................................................................7

5安全审计组织管理....................................................................7

6安全审计人员要求....................................................................7

7安全内部控制审计....................................................................7

7.1总则............................................................................7

7.2安全组织控制审计................................................................7

7.3安全一般控制审计................................................................9

7.4应用安全控制审计...............................................................10

8安全专项审计.......................................................................10

8.1总则...........................................................................10

8.2网络安全专项审计...............................................................10

8.3个人信息保护专项审计...........................................................10

8.4信息安全管理专项审计...........................................................11

8.5数据安全专项审计...............................................................11

8.6供方安全管理专项审计...........................................................12

8.7云安全管理专项审计.............................................................12

8.8信息系统生命周期安全管理专项审计...............................................12

8.9创新技术安全管理专项审计.......................................................12

8.10终端安全专项审计..............................................................13

8.11（移动）互联网应用安全专项审计................................................13

9安全审计流程.......................................................................14

10安全审计报告......................................................................14

附录A（规范性附录）总体风险管理.....................................................14

参考文献.............................................................................14

II

T/CESAXXXX-2019

信息技术服务治理安全审计

1规范性引用文件

下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅所注日期的版本适用于本文

件。凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。

GB/T34960.1信息技术服务治理第1部分：通用要求

GB/T34960.4信息技术服务治理第4部分：审计导则

2范围

T/CESAXXXXX的本部分规定了安全审计总则、安全审计组织管理、安全审计人员、安全审计业

务、安全审计流程、安全审计报告、安全审计适用对象和范围等内容。

本部分适用于：

a)组织治理主体实施安全审计监督职能；

b)建立或完善组织的安全审计体系；

c)明确组织安全审计过程中的相关要求；

d)规范组织安全审计业务的开展；

e)第三方或其他相关机构开展安全审计的指导

f)建立或未建立内部安全审计机构的组织，均可聘请第三方依据本标准的相关要求开展IT安全

审计。

各级各类信息化主管部门、监管机构及审计监督机构，可根据法律法规、部门规章的要求，使用本

标准对所管辖各类组织的安全审计提出要求，并进行监督。

3术语和定义

3.1

安全审计securityAudit

根据安全审计标准的要求，对网络、信息、数据、云计算、人工智能、区块链等安全系统及相

关的内部控制和流程进行检查、评价，发表审计意见，并提出改进意见和建议。

3.2

安全内部控制securityinternalcontrol

是由组织治理主体和全体员工实施的、旨在实现安全控制目标的过程。内部控制要素包括网

络、信息、数据、云计算、人工智能、区块链等安全控制环境、风险评估、控制活动、信息与沟通及

内部监督。

3.3

安全组织控制securityorganizationcontrol

在安全组织层面建立并实施的相关控制，控制要素包括控制环境、风险评估、控制活动、信息

与沟通及内部监督。

5

T/CESAXXXX-2019

3.4

安全组织控制审计securityorganizationcontrolaudit

对安全组织层面控制开展的审计。

3.5

安全一般控制securitygeneralcontrol

为了保证网络、信息、数据、云计算、人工智能、区块链等安全，对整个网络以及外部各种环

境要素实施的安全控制。

3.6

安全一般控制审计securitygeneralcontrolaudit

对安全一般控制开展的审计。

3.7

安全应用控制securityapplicationcontrol

在业务流程层面为合理保证应用系统安全、可靠、有效运行，而设计、执行的安全控制。

3.8

安全应用控制审计securityapplicationcontrolaudit

对安全应用控制开展的审计。

4安全审计总则

4.1审计与治理的关系

安全治理过程包含统筹和规划、构建和运行、监控和评价以及改进和优化，安全审计是监控和评价

不可或缺的任务。

4.2审计结构及其关系

安全审计包括审计组织管理体系、审计依据、审计方法、审计技术、审计质量控制、审计工作的执

行、审计人员、审计业务、审计流程及审计报告。组织应建立安全审计组织管理体系，并根据审计规章

制度、依据、方法、技术、质量控制、工作执行、人员、业务、流程及报告等的要求，开展安全审计活

动。

4.3审计依据

安全审计依据包括但不限于：

a)国家网络安全、信息安全、云安全及数据安全等相关法律、法规及标准；

b)行业网络安全、信息安全、云安全及数据安全等相关规范及标准；

c)地方网络安全、信息安全、云安全及数据安全等相关规范及标准；

d)组织网络安全、信息安全、云安全及数据安全等相关规范及标准；

e)国际网络安全、信息安全、云安全及数据安全等相关标准；

f)国内网络安全、信息安全、云安全及数据安全等最佳实践。

4.4审计方法

组织的安全审计方法要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.5审计技术

6

T/CESAXXXX-2019

组织的安全审计技术要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.6审计质量控制

组织的安全审计质量控制要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

4.7审计业务类型

安全审计业务类型包括安全内部控制审计和安全专项审计。安全内部控制审计是为了综合评价组织

安全控制目标实现过程而进行的审计；安全专项审计是组织根据外部要求及内部特殊需要而进行的审

计。安全审计可作为独立的审计项目实施，或作为综合性审计项目的组成部分组织实施。

当安全审计作为综合性审计项目的一部分时，安全审计人员在进行审计计划时应考虑项目审计目标

及要求，在审计实施过程中应及时与其他相关审计人员沟通安全审计中的发现，并考虑依据安全审计结

果调整其他相关审计的范围、时间及性质。

安全审计人员应当以风险导向为基础开展审计，风险评估应当贯穿于审计的全过程。

5安全审计组织管理

组织的安全审计组织管理通用要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》同

时还应：

a)为安全审计开展创造必要的环境；

b)明确审计机构的职责和权力；

c)在审计章程中明确安全审计的相关要求；

d)制定安全审计战略规划

e)制定安全审计相关制度、流程及操作规程等；

f)建立安全审计平台。

6安全审计人员要求

组织的安全审计人员要求见GB/T34960.4《信息技术服务治理第4部分：审计导则》。

7安全内部控制审计

7.1总则

安全内部控制审计是为了综合评价组织安全控制目标实现过程而进行的审计。安全内部控制审计是

组织常规审计内容的一部分。

7.2安全组织控制审计

7.2.1控制环境

审计安全控制环境时，审计范围包括但不限于：

a）组织遵循的安全治理总则；

b）安全战略与业务战略的一致性；

c）决策层的安全风险偏好及风险容忍度；

d）安全治理的职责分工和制衡机制；

7

T/CESAXXXX-2019

e）安全内部控制的监督机制；

f）安全内部控制机构的设置、职责与权限；

g）内部审计机构设置、人员配备和工作独立性；

h）制定和实施的人力资源政策；

i）……。

7.2.2风险评估

审计安全风险评估时，审计范围包括但不限于：

a）安全风险管理目标和策略；

b）安全风险管理原则；

c）安全风险管理组织，包括组织架构、责任人、角色、职责和权限等；

d）安全风险管理制度；

e）安全风险管理流程；

f）安全风险识别、风险分析、风险评价及风险处置的执行情况；

g）……。

7.2.3控制活动

7.2.3.1通用要求

审计组织层面安全控制活动通用要求时，审计范围包括但不限于：

a）安全控制政策与流程；

b）安全授权与审批控制；

c）安全预算控制；

d）安全信息记录与报告；

e）资产保护；

f）安全绩效考核；

g）安全不相容职责分离。

7.2.3.2顶层设计

审计安全顶层设计时