信息系统审计类基本能力要求
申请信息安全服务(信息系统审计类一级)资质的组织需要在基本资格和基本能力、信息系统审计过程能力和项目与组织过程能力等几个方面符合《信息安全服务资质具体要求(信息系统审计类一级)》的规定。
1、法律和合同事宜
申请信息安全服务(信息系统审计类一级)资质的组织应满足以下相关法律和合同要求:
1)信息系统审计机构应是一个法律实体,或法律实体中明确界定的一部分,如一个较大规模机构中的内部审计部门,以对其所有审计活动承担法律责任;
2)必须遵守国家现行法律、法规的规定,在经营活动中没有违反保密、知识产权保护、不正当竞争等有关法律的行为;
3)信息系统审计机构在开展审计时,必须与审计委托方或被审计方签署具有法律效力的协议,或向被审计方发出具有法律或行政效力的审计通知书;
4)信息系统审计机构应保有审计报告的权力,并应对审计报告负责。
2、公正性管理
公正性管理是信息系统审计机构保持其独立性的基本条件,应满足以下要求:
1)信息系统审计机构最高管理层应对审计活动的公正性做出承诺。信息系统审计机构应提供公开声明文件,表明机构理解在实施审计活动中公正的重要性,管理利益冲突并确保审计活动的客观性;
2)信息系统审计机构应识别、分析由审计活动引起的利益冲突的可能性并形成文件。利益冲突的潜在来源可能包括来自信息系统审计机构内部或其它人、机构或组织的活动;
3)信息系统审计机构不应就同一审计项目向被审计方提供相关审计咨询活动;
4)当信息系统审计机构与信息技术产品和服务厂商以及咨询机构之间存在利益关系时,信息系统审计机构不应对接受该厂商或咨询机构产品和服务的被审计方进行审计;
5)信息系统审计机构应要求其内部和外部人员,报告他们所知道的任何可能使他们或信息系统审计机构陷入利益冲突的任何事项,并采取相应措施包括回避措施。
3、责任和财力
信息系统审计机构应具备满足业务运作和承担审计风险所需的财力。信息系统审计机构应:
1)具备与其业务规模相适应的注册资本金和流动资金;
2)应能证明已对审计活动引发的风险进行了评价并做出了安排(如商业保险或储备基金),安排能覆盖其因审计活动所产生的责任;
3)应评价其财务状况和收入来源,并向资质评定机构和保持公正性委员会证实来自商业、财务和其它方面的压力不会损害其公正性。
4、保密要求
信息系统审计机构应:
1)通过具有法律效力的协议,对机构各层次在审计活动中多产生和获得信息,建立保密制度,采取保密措施;
2)对有关特定被审计方或个人的信息,未经他们书面同意,不应透露给第三方。当法律要求将保密信息提供给第三方时,除非法律另有规定,否则信息系统审计机构应事先将法律要求提供的信息通知当事人;
3)来自其它来源(如投诉人、法定机构)的有关被审计方或个人的信息,应按保密信息处理;
4)任何人员,包括代表信息系统审计机构工作的各种委员会成员、兼职人员、外部机构人员或个人,应对在审计活动中获得的信息保密;
5)应提供和使用可确保保密信息(如文件、纪录)安全处理的设施设备。
5、组织与管理要求
信息系统审计机构的组织结构必须拥有健全的组织和管理体系,为持续的信息系统审计服务提供保障,并有利于提高审计活动的可信任度。应建立和确定对以下工作负责的最高管理层,最高管理层可以是委员会、小组或个人。
1)制定信息系统审计机构运作的方针;
2)信息系统审计服务和制度的开发;
3)监督其方针和制度的实施;
4)监督信息系统审计机构的财务;
5)评价投诉解决的成效;
6)批准审计报告;
7)需要时,授权委员会或个人代表最高管理层开展规定的活动;
8)为认证活动提供充分的,合格的资源等。
6、人员构成与能力要求
信息系统审计机构应确保其人员具有与审计活动和被审计方业务领域相关的适宜的知识、技能和经验。信息系统审计机构应:
有足够的人员从事直接与信息系统审计服务相关的活动,对直接参与审计活动的人员,具有2名或以上的注册信息系统审计师(CISP-A)或注册信息安全专业人员(CISP);
7、业绩要求
信息系统审计机构应具有与其申请资质等级相适应的从业经历,主要包括:
1)从业时间;
2)信息系统审计项目数量和规模;
3)联合审计项目参与程度;
4)项目完成结果评价。
|声明 |
本文所用视频、图片、文字部分来源于互联网,版权属原作者所有。本文章仅做分享使用,别无他意。另文章仅代表作者观点,不代表本官网立场,如涉及到版权问题,请及时和我们联系删除,感恩,感谢。
