2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實施指引第6部分：審計指引

ICS03.060JRA11JR中華人民共和國金融行業(yè)標(biāo)準(zhǔn)JR/T0071.6—20206Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancialindustry—Part6：Guidelinesforauditwork2020-11-11發(fā)布 2020-11-11實施中國人民銀行 發(fā)布JR/T0071.6—2020目??次前言 II引言 III范圍 1規(guī)范性引用文件 1審計目標(biāo) 1審計方案要求 1審計程序 2審計內(nèi)容 8參考文獻(xiàn) 10I——第1部分：基礎(chǔ)和術(shù)語；——第2部分：基本要求；——第3部分：崗位能力要求和評價指引；456IIJR/T0071.6—2020引 言網(wǎng)絡(luò)安全等級保護(hù)是國家網(wǎng)絡(luò)安全保障工作的一項基本制度，金融行業(yè)重要系統(tǒng)關(guān)系到國計民生，IT0071進(jìn)行修訂。修訂后的JR/T0071依據(jù)國家網(wǎng)絡(luò)安全等級IIIJR/T0071.6—2020金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)實施指引第6部分：審計指引范圍本部分規(guī)定了金融機(jī)構(gòu)網(wǎng)絡(luò)安全等級保護(hù)工作實施審計的指引。規(guī)范性引用文件GB/T25058信息安全技術(shù)網(wǎng)絡(luò)安全等級保護(hù)實施指南審計目標(biāo)審計方案要求總則基本要素和主要內(nèi)容基本要素審計方案的制定可基于以下考慮：法律法規(guī)和合同的要求。網(wǎng)絡(luò)安全等級保護(hù)主管部門的要求。其他相關(guān)方的需求。金融機(jī)構(gòu)的風(fēng)險。1JR/T0071.6—2020主要內(nèi)容基于審計金融機(jī)構(gòu)的規(guī)模、性質(zhì)與復(fù)雜程度，審計方案的內(nèi)容包括：審計的范圍、目的和期限。審計的頻次。審計的內(nèi)容。審計活動的數(shù)量和地點。審計活動的重要性、復(fù)雜性、相似性。審計參考的標(biāo)準(zhǔn)、法律法規(guī)、合同要求及其他審計準(zhǔn)則。以往的審計結(jié)論或以往審計方案的評審結(jié)果。金融機(jī)構(gòu)的變更情況。審計方案負(fù)責(zé)人員和所需資源審計方案負(fù)責(zé)人員職責(zé)負(fù)責(zé)管理審計方案的人員應(yīng)：確定審計方案的目的和內(nèi)容。確定審計人員職責(zé)和審計程序，確保受審計金融機(jī)構(gòu)提供必要的資源。確保審計方案的實施。確保保持審計方案記錄。制定、監(jiān)督、評審和改進(jìn)審計方案。所需資源識別審計方案所需資源時應(yīng)考慮：審計活動的制定、實施、管理和改進(jìn)所必需的財務(wù)資源。審計技術(shù)。適合具體審計方案目的的審計人員。審計方案的內(nèi)容。審計過程中的路途時間、食宿和其他審計所需要的資源。審計方案的實施審計方案的實施應(yīng)明確以下方面：與被審計機(jī)構(gòu)溝通審計方案。審計及其他與審計方案有關(guān)的活動的協(xié)調(diào)和日程安排。向?qū)徲嫿M提供必需的資源。確保按審計方案進(jìn)行審計。確保審計活動記錄的完整性。確保審計報告的評審和批準(zhǔn)，并確保分發(fā)給審計相關(guān)方。審計程序2JR/T0071.6—2020活動流程審計組應(yīng)在審計前策劃完整的審計活動流程，審計活動流程參見圖1。啟動審計啟動審計——指定審計組長——確定審計目的、范圍和準(zhǔn)則——確定審計的可行性——選擇審計組——與受審計金融機(jī)構(gòu)建立初步聯(lián)系評審文件定其針對審計準(zhǔn)則的適宜性和充分性準(zhǔn)備現(xiàn)場審計——編制審計計劃——審計組工作分配——準(zhǔn)備工作文件實施現(xiàn)場審計——舉行首次會議——收集和驗證信息——形成審計發(fā)現(xiàn)——準(zhǔn)備審計結(jié)論——舉行末次會議編制、批準(zhǔn)和分發(fā)審計報告——編制審計報告——批準(zhǔn)和分發(fā)審計報告完成審計實施審計后續(xù)活動圖1審計活動流程3JR/T0071.6—2020啟動審計指定審計組長負(fù)責(zé)管理審計方案的人員應(yīng)為審計活動指定的審計組長。確定審計目的、范圍和準(zhǔn)則審計應(yīng)基于形成審計文件的目的、范圍和準(zhǔn)則。審計目的可包括：確定受審計金融機(jī)構(gòu)網(wǎng)絡(luò)安全等級保護(hù)體系與審計準(zhǔn)則的符合程度。評價受審計金融機(jī)構(gòu)滿足法律法規(guī)和合同要求的能力。評價網(wǎng)絡(luò)安全等級保護(hù)體系實現(xiàn)規(guī)定目標(biāo)的有效性。識別網(wǎng)絡(luò)安全等級保護(hù)體系潛在的改進(jìn)方面。審計范圍描述審計的內(nèi)容和界限，例如：實際位置、受審計的活動和過程等。確定審計的可行性審計機(jī)構(gòu)應(yīng)判斷審計的可行性，考慮下列因素的可獲得性：策劃審計所需的充分和適當(dāng)?shù)男畔?。受審計金融機(jī)構(gòu)的充分合作。充分的時間和資源。當(dāng)審計不可行時，應(yīng)在與受審計金融機(jī)構(gòu)協(xié)商后向金融行業(yè)網(wǎng)絡(luò)安全等級保護(hù)主管部門建議替代方案。選擇審計組當(dāng)已明確審計可行時，審計機(jī)構(gòu)應(yīng)選擇審計組，同時考慮實現(xiàn)審計目的。當(dāng)只有一名審計人員時，審計人員應(yīng)承擔(dān)審計組長的職責(zé)。當(dāng)決定審計組的規(guī)模和組成時，應(yīng)考慮下列因素：審計目的、范圍、準(zhǔn)則以及預(yù)計的審計時間。為達(dá)到審計目的，審計組所需的整體能力。法律法規(guī)、合同的要求。確保審計組獨立于受審計的活動并避免利益沖突。審計組成員與受審計金融機(jī)構(gòu)的有效協(xié)作能力以及審計組成員之間共同工作的能力。保證審計組整體能力的過程應(yīng)包括下列步驟：識別為達(dá)到審計目的所需的知識和技能。選擇審計組成員以使審計組具備所有必要的知識和技能。若審計組中的審計人員沒有完全具備審計所需的知識和技能，可通過技術(shù)專家予以滿足。與受審計金融機(jī)構(gòu)建立初步聯(lián)系4JR/T0071.6—2020與受審計金融機(jī)構(gòu)的代表建立溝通渠道。提供建議的時間安排和審計組的信息。要求獲得審計需要的相關(guān)文件，包括記錄。確定適用的現(xiàn)場安全規(guī)則。對審計作出安排。評審文件準(zhǔn)備現(xiàn)場審計編制審計計劃審計組長應(yīng)編制一份審計計劃，使審計組和受審計金融機(jī)構(gòu)之間就審計的實施計劃達(dá)成一致。審計計劃應(yīng)包括：審計目的。審計準(zhǔn)則和引用文件。審計范圍，包括確定受審計的金融機(jī)構(gòu)部門、職能單元及過程?，F(xiàn)場審計活動的日期和地點。現(xiàn)場審計活動預(yù)期的時間和期限。審計組成員的作用和職責(zé)。為審計關(guān)鍵區(qū)域配置的資源。根據(jù)具體情況，審計計劃還宜包括：明確受審計金融機(jī)構(gòu)的代表。后勤安排（交通、現(xiàn)場設(shè)施等）。保密事宜。審計后續(xù)活動。在現(xiàn)場審計活動開始前，審計計劃應(yīng)經(jīng)金融行業(yè)等級保護(hù)主管部門批準(zhǔn)，并發(fā)至受審計金融機(jī)構(gòu)。繼續(xù)審計前征得各方的同意。審計組工作分配準(zhǔn)備工作文件5JR/T0071.6—2020檢查表和審計抽樣計劃。記錄信息（例如：支持性證據(jù)、審計發(fā)現(xiàn)和會議記錄）的表格。實施現(xiàn)場審計召開首次會議審計組應(yīng)與受審計金融機(jī)構(gòu)管理層（或?qū)徲嬤^程的負(fù)責(zé)人）召開首次會議。首次會議的目的是：確認(rèn)審計計劃。簡要介紹審計活動如何實施。確認(rèn)溝通渠道，指定向?qū)?。向受審機(jī)構(gòu)提供詢問的機(jī)會。向?qū)?yīng)協(xié)助審計組并且根據(jù)審計組長的要求行動，職責(zé)可包括：建立聯(lián)系并安排面談時間。安排對辦公場所或金融機(jī)構(gòu)特定部分的訪問。確保審計組成員了解和遵守有關(guān)場所的安全規(guī)則和安全程序。代表受審計金融機(jī)構(gòu)見證審計過程。在審計過程中，作出問題澄清或提供幫助。信息的收集和驗證收集信息的方法包括：訪談。對活動的觀察。文件評審等。審計組應(yīng)定期討論以交換信息，評定審計進(jìn)展情況，需要時重新分派審計組成員的工作。形成審計發(fā)現(xiàn)6JR/T0071.6—2020審計人員應(yīng)對照審計準(zhǔn)則評價審計證據(jù)以形成審計發(fā)現(xiàn)，審計發(fā)現(xiàn)能表明符合或不符合審計準(zhǔn)則。審計人員應(yīng)匯總審計發(fā)現(xiàn)與審計準(zhǔn)則的符合情況，指明審計的場所、職能和過程。（或）審計發(fā)現(xiàn)有分歧的問題，并記錄尚未解決的問題。準(zhǔn)備審計結(jié)論在末次會議召開前，審計組應(yīng)討論以下內(nèi)容：針對審計目的，評審審計發(fā)現(xiàn)以及在審計過程中所收集的其他信息?？紤]審計過程中固有的不確定因素，對審計結(jié)論達(dá)成一致。如果審計目的有規(guī)定，準(zhǔn)備建議性意見。如果審計計劃有規(guī)定，討論審計后續(xù)活動。召開末次會議審計組和受審計金融機(jī)構(gòu)應(yīng)對有關(guān)審計發(fā)現(xiàn)和審計結(jié)論的不同意見進(jìn)行討論，并盡可能達(dá)成一致。如果未能達(dá)成一致，應(yīng)記錄所有的意見。如果審計目的有規(guī)定，審計組應(yīng)提出改進(jìn)的建議，并強(qiáng)調(diào)該建議沒有約束性。編制、批準(zhǔn)和分發(fā)審計報告審計報告的編制審計組長應(yīng)對審計報告的編制和內(nèi)容負(fù)責(zé)。審計報告應(yīng)提供完整、準(zhǔn)確、簡明和清晰的審計記錄，并包括或引用以下內(nèi)容：審計目的。審計范圍，應(yīng)明確受審計的金融機(jī)構(gòu)部門、職能單元以及審計所覆蓋的時期。明確審計組長和成員。現(xiàn)場審計活動實施的日期和地點。審計準(zhǔn)則。審計發(fā)現(xiàn)。審計結(jié)論。根據(jù)具體情況，審計報告可包括或引用以下內(nèi)容：審計計劃。受審計金融機(jī)構(gòu)代表名單。審計過程綜述，包括遇到的可能降低審計結(jié)論可靠性的不確定因素和（或）障礙。在審計范圍內(nèi)，已按審計計劃達(dá)到的審計目的。在審計范圍內(nèi)，但沒有覆蓋到的區(qū)域。審計組和受審計金融機(jī)構(gòu)之間沒有解決的分歧意見。7JR/T0071.6—2020如果審計目的有規(guī)定，提出的改進(jìn)建議。商定的審計后續(xù)活動計劃（如有）。關(guān)于內(nèi)容保密的聲明。審計報告的分發(fā)清單。審計報告的批準(zhǔn)和分發(fā)審計報告應(yīng)根據(jù)審計方案的規(guī)定注明日期，并經(jīng)評審和批準(zhǔn)。經(jīng)批準(zhǔn)的審計報告應(yīng)分發(fā)給金融行業(yè)等級保護(hù)主管部門指定的接收者。完成審計當(dāng)審計計劃中的所有活動已完成，并分發(fā)了經(jīng)過批準(zhǔn)的審計報告時，審計結(jié)束。實施審計后續(xù)活動應(yīng)對糾正措施的完成情況及有效性進(jìn)行驗證。驗證可以是后續(xù)審計活動的一部分。審計內(nèi)容按照GB/T25058定級對各金融機(jī)構(gòu)的定級工作進(jìn)行審計，包括安全保護(hù)等級確定、評審、批準(zhǔn)及重新定級等內(nèi)容。備案對各金融機(jī)構(gòu)的備案工作情況進(jìn)行審計，包括備案材料準(zhǔn)備、報送、審批等內(nèi)容。系統(tǒng)建設(shè)整改對各金融機(jī)構(gòu)的系統(tǒng)建設(shè)整改工作進(jìn)行審計，包括系統(tǒng)建設(shè)整改方案、產(chǎn)品采購、自行軟件