中国信息安全测评中心信息安全服务资质信息统计审计一级申请要求

信息安全服务（信息系统审计类）资质认定是对信息系统审计服务提供者的综合实力的客观评价和确认，信息安全服务（信息系统审计类）资质级别反映了信息系统审计服务提供者从事信息系统审计服务保障能力的成熟程度。

组织与管理要求

申请单位应拥有健全的组织和管理体系，为持续的信息系统审计服务提供保障，并有利于提高审计活动的可信任度。应建立和确定对以下工作负责的最高管理层，最高管理层可以是委员会、小组或个人：

1. 制定信息系统审计单位运作的方针；

2. 信息系统审计服务和制度的开发；

3. 监督其方针和制度的实施；

4. 监督信息系统审计单位的财务；

5. 评价投诉解决的成效；

6. 批准审计报告；

7. 需要时，授权委员会或个人代表最高管理层开展规定的活动；

8. 为认证活动提供充分的，合格的资源等。

技术能力要求

申请单位应建设和储备相应的技术条件，以满足信息系统现场审计和非现场审计的需要：

1. 了解信息技术应用现状和发展趋势，以及新兴技术的发展和应用现状；

2. 具有较全面的信息系统控制相关领域的专业知识；

3. 具有不断的审计和信息系统等相关领域的技术更新能力；

4. 掌握影响信息系统安全性、有效性、可靠性等的风险因素，并具备相应的风险评估的能力；

5. 具备提出信息系统风险处置建议的能力；

6. 具备跟踪、了解、掌握、应用国际、国家和行业标准的能力。

人员构成与素质要求

申请单位应确保其人员具有与审计活动和被审计方业务领域相关的知识、技能和经验：

1. 有足够的人员从事直接与信息系统审计服务相关的活动，对直接参与审计活动的人员，具有至少 4 名注册信息系统审计师或注册信息安全专业人员；

2. 识别不同被审计业务领域的信息系统审计所需的人员资格和能力要求；

3. 识别单位内直接参与审计活动以外的岗位如管理、营销、质量保证等人员的知识和能力要求；

4. 识别培训要求，具有获取必要的技术知识和技能的渠道和制度安排，以确保其人员持续满足所需的资格和能力要求；

5. 应建立选择、培训、正式授权和监督信息系统审计师以及技术专家的制度，对信息系统审计师的初始能力评价，应包括现场见证审计师的活动；

6. 应确保信息系统审计师和技术专家熟悉审计活动、审计方法、审计工具和其它相关要求；

7. 应保存参与信息系统审计活动的工作人员的相关资格、培训、经历、社会关系、职业状态和能力的最新记录。

设备、设施与环境要求

申请单位应具有与其开展审计服务相适应的设备、设施与工作环境，包括：

1. 具有固定的工作场所，满足工作要求的适宜的工作环境；

2. 逐步建设和维护信息系统审计工具库，包括但不限于数据审计、代码审计、流量审计、日志审计、配置审计、常用技术控制措施审计、关键信息基础设施审计等工具；

3. 逐步建设信息系统审计实验环境，建设常见被审计信息系统的仿真模拟环境，培养使用工具开展审计的能力。

规模与资产要求

申请单位应具备满足业务运作和承担审计风险所需的财力：

1. 具备与其业务规模相适应的注册资本金和流动资金；

2. 应能证明已对审计活动引发的风险进行了评价并做出了安排（如商业保险或储备基金），安排能覆盖其因审计活动所产生的责任；

3. 应评价其财务状况和收入来源，并向申请单位证实来自商业、财务和其它方面的压力不会损害其公正性。

4. 有足够的人员从事直接与信息安全服务相关的活动。

业绩要求

申请单位应具有与其申请资质等级相适应的从业经历，主要包括：

1. 从业时间；

2. 信息系统审计项目数量和规模；

3. 联合审计项目参与程度；

4. 项目完成结果评价。

信息系统审计服务过程能力要求

信息系统审计服务过程能力是评价信息系统审计服务专业水平高低的标志。

申请单位应能实施以下 7 个信息系统审计过程域：

1. 编制信息系统审计计划；

2. 启动信息系统审计；

3. 信息系统审计活动的准备；

4. 实施信息系统审计活动；

5. 编制和交付信息系统审计报告；

6. 结束信息系统审计活动；

7. 信息系统审计的后续活动。

项目和组织过程能力要求

项目和组织过程能力是评价信息系统审计服务规范性和质量保证成熟度标志。

申请单位应能实施以下 6 个项目和组织过程域：

1. 审计活动的质量保证；

2. 审计活动的风险管理；

3. 审计活动的监控；

4. 信息系统审计知识和技能的提升；

5. 信息系统审计机构原则；

6. 信息系统审计人员职业道德。

龙域认证凭借多年的行业经验和专业服务，赢得了企业的广泛认可，并成功帮助众多企业顺利解决了评估和申报中的各种难题。如果有需要，请随时与龙域认证团队联系！