1、網絡安全審計服務資質認證自評估表填表要求：該服務中涉及的程序文件，須經本單位批準并發布。組織名稱申報級別評估時間評估部門/人員序號要點條款需提供證明材料自評估結論證明材料清單符合不符合1.服務技術要求建立網絡安全審計服務流程。提供建立的網絡安全審計服務流程，流程中應包括每個階段對應的職責、輸入輸出等。2.制定網絡安全審計服務規范并按照規范實施。提供已制定的網絡安全審計服務規范。3.基本資格三級初次認證無項目要求。三級監督要求：申請三級資質認證的單位，至少已經完成1個完整的網絡安全審計項目，具備確定審計目標和范圍、確定審計依據的能力；具備實施現場審計、報告審計發現和形成審計結論的能力；具備提出審

2、計建議的能力。提供一個已完成的審計項目的合同、驗收的證明材料，包括確定審計目標和范圍、確定審計依據的能力；實施現場審計、報告審計發現和形成審計結論的能力；提出審計建議的能力的證明材料。4.僅二級要求：申請二級資質認證的單位，至少完成6個完整的網絡安全審計項目；具備確定審計目標和范圍、確定審計依據的能力；具備實施現場審計、報告審計發現和形成審計結論的能力；具備提出審計建議的能力。提供6個已完成的審計項目的合同、驗收的證明材料，包括確定審計目標和范圍、確定審計依據的能力；實施現場審計、報告審計發現和形成審計結論的能力；提出審計建議的能力的證明材料。5.僅一級要求：申請一級資質認證的單位，至少完成1

3、0個項目，3個完整的網絡安全審計項目，項目審計目標應覆蓋至少合規、安全、績效等；具備確定審計目標和范圍、確定審計依據的能力；具備實施現場審計、報告審計發現和形成審計結論的能力；具備提出審計建議的能力。提供3個完整的網絡安全審計項目的合同及驗收的證明材料，項目審計目標應覆蓋至少合規、安全、績效等；包括確定審計目標和范圍、確定審計依據的能力；實施現場審計、報告審計發現和形成審計結論的能力；提出審計建議的能力的證明材料。6.審計對象識別-了解被審計方業務和IT情況G a) 編制業務情況調研表，并按照調研表收集有效信息。提供業務情況調研表7.G b)編制IT情況調研表，并按照調研表收集有效信息。提供I

4、T情況調研表8.（適用于一、二級）G2.1.1 a)編制審計對象列表，包括審計對象的數量、容量、功用、版本等屬性。提供審計對象列表，應包括審計對象的數量、容量、功用、版本等屬性9.（適用于一、二級）G2.1.1 b)梳理被審計方業務邏輯、應用系統處理邏輯和IT基礎設施架構。提供被審計方業務邏輯、應用系統處理邏輯和IT基礎設施架構的分析證明材料10.（適用于一級）G3.1.1 a)應利用應用系統工具來建立和管理審計對象庫。提供利用應用系統工具建立和管理審計對象庫的過程證明（可提供相關工具的功能介紹、界面截圖等）11.（適用于一級）G3.1.1 b)具備為被審計方提供審計對象管理工具的能力。12.

5、審計對象調研-了解被審計方組織管理和IT管理情況G1.1.2 a)有效掌握被審計方組織結構。提供了解和分析被審計方組織結構及崗位職責等方法說明，如調研表等。13.G1.1.2 b)有效掌握被審計方IT管理情況。提供了解和分析被審計方IT管理情況的方法說明，如調研表等。14.G1.1.2 c)了解被審計方IT支撐業務的對應關系。提供了解和分析被審計方IT支撐業務的對應關系說明，如分析表格模板。15.G1.1.2 d)對網絡安全審計的風險進行初步評價。提供網絡安全審計風險評價方法，如評價程序，評價報告模板等。16.（適用于一、二級）G2.1.2 a)梳理被審計方規章制度文件，形成審計項并編制對應檢

6、查表。提供規章制度文件審計項及檢查表模板及案例。17.（適用于一、二級） b)編制完整審計調研報告，并說明審計重點審計項。提供審計調研報告案例，并說明審計重點審計項。18.G2.1.2 c)制定審計風險評價準則，評價審計風險，為確定重點審計項和明確審計內容提供依據。提供審計風險評價準則，提供審計風險評價報告案例。 19. 應建立審計調研報告分級復核程序，明確規定各級復核人員的要求和責任。提供所建立的審計調研報告分級復核程序，明確規定各級復核人員的要求和責任。提供復核記錄案例。20.編制審計實施方案-確定網絡安全審計目標G1.2.1 a）確定網絡安全審計項目的目標。提供確定審計目標的方法，如審計

7、目標描述模板等。21.G1.2.1 b)網絡安全審計目標可以包括信息化政策合規性、網絡安全建設和績效、政務系統整合和數據共享、個人信息保護和數據保護、信息化項目建設績效與合規、信息系統有效性和可靠性、信息系統應急響應能力等。22.（適用于一、二級）G2.2.1 網絡安全審計目標應經過評審，并與被審計方達成一致。提供網絡安全審計目標評審記錄案例。23.編制審計實施方案-確定網絡安全審計依據G a） 應根據具體審計目標，準確確定審計依據。提供確定審計依據的方法，如審計目標與審計依據對應關系表格模板等。24.G b）網絡安全審計依據可以是國家法律法規、國際國內相關標準、被審計方的有關規章程序，以及審

8、計委托方指定的其它審計依據。25.（適用于一、二級）G2.2.2 應建立并維護常用審計依據庫，并確保審計依據是當前適用版本。提供審計依據庫目錄，并提供審計依據版本管理的方法。26.（適用于一級）G3.2.2 a)應利用應用系統工具來建立和維護常用審計依據庫，并確保審計依據是當前適用版本。提供利用應用系統工具建立和維護審計依據庫的過程證明（可提供相關工具的功能介紹、界面截圖等）27.（適用于一級） b)具備為被審計方提供審計依據管理工具的能力。28.編制審計實施方案-確定網絡安全審計范圍和審計內容G a)應根據審計目標和審計依據，確定審計范圍。審計范圍應包括組織機構范圍、業務范圍、IT基礎設施和

9、應用系統范圍等。提供確定審計范圍的方法，如審計目標、審計依據和審計范圍的對應關系表格模板等。29.G b)應根據審計依據和范圍，確定審計內容。審計內容應劃分到具體審計事項，明確每一個審計事項的審計要點和審計方法及所需資源。提供確定審計內容的方法，如審計依據、審計范圍和審計內容的對應關系表格模板。30.G c)審計方法及所需資源應包括審計人員、計劃時間安排、審計工具，以及可操作的審計方法和流程。提供不同審計內容對應的審計方法和所需審計所需資源的模板。31.（適用于一、二級）G2.2.3 應建立審計范圍、審計對象、審計依據要求項、審計程序（方法）、所需資源的對應關系。提供審計范圍、審計對象、審計依

10、據要求項、審計程序（方法）、所需資源的對應關系模板和案例。32.（適用于一級）G3.2.3 a)應利用應用系統工具來建立和維護審計范圍、審計對象、審計依據要求項、審計程序（方法）、所需資源的對應關系。提供利用應用系統工具來建立和維護審計范圍、審計對象、審計依據要求項、審計程序（方法）、所需資源的對應關系的過程證明（可提供相關工具的功能介紹、界面截圖等）33.（適用于一級）G3.2.3b)具備為被審計方提供審計范圍、審計對象、審計依據要求項、審計程序（方法）、所需資源等對應關系管理工具的能力。34.編制審計實施方案-組建審計組G1.2.4 a） 應考慮審計目標、審計內容、審計范圍等組建審計組。提

11、供審計組管理相關規定。35.G1.2.4 b） 選擇審計組成員應滿足通用評價要求的人員能力要求，同時應滿足審計和網絡安全審計基礎流程中的人員能力要求。提供審計組成員能力評價相關規定。36.（適用于一、二級）G2.2.4 應指定審計組長、主審和審計組成員，并明確分配審計任務。提供包括審計組長、主審和審計組成員的已組建的審計組案例。37.（適用于一級） G3.2.4 對于特定行業領域的網絡安全審計，應具備聘請外部行業技術專家作為審計組成員的安排。提供對于特定行業領域網絡安全審計項目，能夠聘請外部行業技術專家作為審計組成員的規定。38.審計取證與評價-審計取證G a)應選擇適當的方法，在現場審計或非

12、現場審計活動中獲取審計證據。審計取證的方法可以是訪談、文件和記錄調閱、審計項檢查表、系統操作驗證、審計工具、函證等。提供審計取證方法，可以是訪談提綱、文件和記錄調閱單、審計項檢查表、系統操作驗證流程、審計工具、函證模板等之一或多種。39.G b)在獲取審計證據過程中，應選擇適當的抽樣方式。提供審計過程中抽樣安排的相關規定。40.G c)應采取必要措施，保證審計證據的相關性、可靠性和充分性。提供保障審計證據的相關性、可靠性和充分性的相關措施或規定。41.（適用于一、二級）G2.3.1 a) 應具備至少利用一種網絡安全審計工具執行審計取證的能力。提供至少一種利用網絡安全審計工具執行審計取證的記錄。

13、42.（適用于一、二級）G2.3.1 b)對電子形式存在的審計證據，應做好取證記錄，并經被審計方相關人員確認。提供電子形式的審計證據的取證記錄，包括被審計方確認的記錄。43.（適用于一、二級）G2.3.1 c)應采取必要的措施，保護取證過程中所采集的電子數據的安全。提供保障電子數據的安全措施或規定。44.45.（適用于一級）G3.3.1 a)應至少具備和使用數據分析類、漏洞和缺陷掃描類、系統配置和運行日志檢查類等類型的審計工具的能力。提供數據分析類、漏洞和缺陷掃描類、系統配置和運行日志檢查類等類型審計工具列表，提供使用這些工具開展審計的記錄（可以是相關工具的功能介紹、界面截圖等）。46.（適用

14、于一級）G3.3.1 b)利用審計工具取證時，應采取措施確保對審計對象的風險最小化。提供使用審計工具開展審計的相關操作規定，包括降低風險的措施。47.審計取證與評價-編制審計工作底稿G a)應在審計取證完成后，編制審計工作底稿或審計取證單。提供審計工作底稿或審計取證單模板。48.G b)審計工作底稿應內容完整、記錄清晰、結論明確，客觀地反映項目審計方案的編制及實施情況，以及與形成審計結論、意見和建議有關的所有重要事項。49.G c)審計工作底稿應經被審計方簽字確認。50.（適用于一、二級）G2.3.2 a)應建立審計工作底稿的分級復核程序，明確規定各級復核人員的要求和責任。提供審計工作底稿的分

15、級復核程序，包括各級復核人員的職責描述。51.（適用于一、二級）G2.3.2 b)審計工作底稿的內容應包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，審計程序的執行過程及結果記錄，審計結論、意見及建議，審計人員姓名和審計日期，復核人員姓名、復核日期和復核意見，編號及頁次，被審計方意見、附件等。提供審計工作底稿案例，底稿內容包括但不限于被審計部門的名稱，審計事項及其期間或者截止日期，審計程序的執行過程及結果記錄，審計結論、意見及建議，審計人員姓名和審計日期，復核人員姓名、復核日期和復核意見，編號及頁次，被審計方意見、附件等。52.（適用于一級）G3.3.2 a)應利用應用系統工具來歸

16、檔和保管審計工作底稿。提供利用應用系統工具來歸檔和保管審計工作底稿的過程證明（可提供相關工具的功能介紹、界面截圖等）。53.（適用于一級） b)具備為被審計方提供審計工作底稿管理工具的能力。54.編制審計工作底稿-審計評價G1.3.3 a）應對審計證據與審計依據的符合性進行評價，以形成審計發現，審計發現應明確審計項符合或不符合審計依據的程度，該程度可以用不同級別來表示。提供審計發現模板。55.G b)網絡安全審計評價應客觀、公正地反映被審計單位信息系統的真實情況。提供網絡安全審計評價原則或相關規定。56.（適用于一、二級）G2.3.3 應編制審計發現列表。 提供審計發現列表案例。57.（適用于

17、一級） a)應利用應用系統工具來管理審計發現列表。提供利用應用系統工具來管理審計發現的過程證明（可提供相關工具的功能介紹、界面截圖等）。58.（適用于一級） b)具備為被審計方提供審計發現列表管理工具的能力。59. 審計報告 -一般原則 a)應實事求是地反映被審計事項的事實。 提供網絡安全審計報告模板60. b)應要素齊全、格式規范，完整反映審計中發現的重要問題。61. c)充分考慮審計項目的重要性和風險水平，對于重要事項應當重點說明。62. d)提出可行的改進建議，以促進被審計方信息系統有效支撐其業務的目標。63.（適用于一、二級）G2.4.1 應建立審計報告分級復核程序，明確規定各級復核人

18、員的要求和責任。提供審計報告分級復核程序（可與G2.3.2 a)的程序結合），包括各級復核人員的職責描述。64.（適用于一級） 應利用應用系統工具來管理審計報告。提供利用應用系統工具來管理審計報告的過程證明（可提供相關工具的功能介紹、界面截圖等）。65.審計報告 -審計報告的內容G1.4.2 a)審計報告應完整、準確地反映審計結果，內容應包括審計概況、審計依據、審計發現、審計結論、審計意見等。提供審計報告模板，內容應包括審計概況、審計依據、審計發現、審計結論、審計意見等。提供適用的審計報告附件模板。66. b)需要時，審計報告可以增加附件。附件內容可包括針對審計過程、審計中發現問題所作出的具體

19、說明，以及被審計單位的反饋意見等內容。67.（適用于一、二級）G 2.4.2 a）審計報告中應提出審計發現問題改進建議。提供審計報告案例。報告中應包括審計發現問題改進建議。68.（適用于一、二級）G2.4.2 應建立程序，對已經出具的審計報告可能存在的重要錯誤或者遺漏及時更正，并將更正后的審計報告提交給原審計報告接收者。提供審計報告管理規定，包括對審計報告內容更正及重新提交的流程進行規定。69.（適用于一級）G3.4.2在審計的任何階段，如果遇到或發現與審計目標和內容有關的重大問題，如違法違規問題、重大安全風險等，應出具審計專報。提供審計專報模板或審計專報案例。70.審計報告 -交付審計報告G

20、1.4.3 a)應建立審計報告的批準和交付程序，保留交付記錄。提供審計報告的批準和交付相關規定。71.b)應在審計委托方或被審計方約定的時間內交付，如延遲交付，應向審計委托方和被審計方說明理由。提供審計報告的交付管理規定。包括交付時間安排等。72.（適用于一、二級）G2.4.3 a)應建立審計報告歸檔和保管程序。任何組織或者個人查閱和使用歸檔后的審計報告，必須經審計機構負責人批準，但國家有關部門依法進行查閱的除外。提供審計報告歸檔和保管管理相關規定。73.（適用于一、二級） b)審計報告歸被審計方所有，被審計方對審計報告的使用、保管等有明確要求的，應遵守其要求。提供審計報告管理相關規定，包括報告的歸屬安排等。74.（適用于一級）G3.4.3 具備為被審計方提供審計報告管理工具的能力。提供為被審計方所用的審計報告管理工具。75.跟蹤審計-一般原則G1.5.1 a)應安排對審計發現問題的整改措施和整改措施的效果進行跟蹤審計。提供審計發現問題的整改措施模板。76.G1.5.1 b)應與被審計方約定在規定的時間內容實施跟蹤審計，一般自審計報告交付起不超過6個月。提供跟蹤審計報告的交付管理規定，包括交付時間安排。77.（適用于一、二級）G2.5.1 應編制跟蹤審計方案，對后續審計做出安排。提供跟蹤審計方案案例。78.跟蹤審計-跟蹤審計報告 a)應當根據跟蹤審計的實施過程和結果編制跟蹤審計