网络安全审计方向 CCRC认证培训三级 二级 一级能力要求
CCRC认证网络安全审计方向
一. CCRC网络安全审计人员基本素质
(1)职业素养:深刻理解从事网络安全审计工作必备的职业素养、特殊责任。
(2)知识结构:理解网络安全审计工作所需基础知识结构,深刻理解网络安全审计的本质含义。
(3)工作技能:理解从事网络安全审计工作所需的基本技能、网络安全审计工作的特殊困难。
二. CCRC认证网络安全审计基础知识
(1)CCRC网络安全审计概念:理解审计、审计依据、审计计划、审计实施、审计报告、跟踪审计、审计证据、审计发现、审计工作底稿等概念,准 确理解审计的含义、对象、分类等内容。
(2)CCRC网络安全审计内容:了解网络安全审计所涵盖的内容范围。
(3)CCRC网络安全审计的历史和发展:了解网络安全审计提出的必要性、与风险评估、测评、检查、审核等的关系,了解网络安全审计的发展历 程。
(4)网络安全审计的发展形势:了解国内外网络安全审计发展形势、了解国内各行业和监管部门对网络安全审计的认识及最新动态。
三. CCRC认证网络安全审计依据
(1)我国法律法规体系:了解我国信息系统法律法规架构、基本分类。
(2)国内外信息系统标准:了解国外信息标准化相关机构以及相互关系,如 ISO、IEC、ITU 和发达国家的信息标准相关组织机构,了解我国信 息标准相关组织及其关系,如国家标准化管理委员会、全国信息化标准技术委员会、全国信息安全标准化技术委员会等,了解ISO、IEC和ITU信息相关标准建设情况,了解美国特有的信息相关标准建设情况,了解我国信息相关标准建设情况。
(3)我国相关行业标准:了解我国各行业信息相关标准管理机构、以及主要的信息管理标准,例如金融行业、通信行业、能力行业等。
(4)我国相关监管文件:了解我国监管部门制定及发布的信息化文件,例如银保监会、证监会、工信部、能源局等。
(5)国内外IT相关的最佳实践文档。
四. CCRC认证-网络安全审计方法
(1)CCRC网络安全审计流程:了解传统审计的流程,了解网络安全审计的流程。
(2)CCRC网络安全审计常用方法:了解网络安全审计中的访谈、检查、观察等常见方法,了解信息系统测试的常用方法。
(3)CCRC网络安全审计项目管理:了解网络安全审计计划管理的方法,了解网络安全审计质量管理的方法,了解网络安全审计风险管理的方法,了 解网络安全审计档案管理的方法。
五. 网络安全审计实务
(1)CCRC现场审计:了解网络安全审计计划的准备及编制方法,了解网络安全审计证据的获取方法,了解网络安全审计工作底稿的要求及编制方 法。
(2)审计报告及后续审计:了解网络安全审计报告的编制方法,了解网络安全审计建议及跟踪验证的方式。 (3)网络安全审计实例:了解不同专项审计的要点和特性,理解 1-2 个专项审计的典型审计实例。
六. 信息系统一般控制审计
(1)信息系统总体控制审计:了解信息系统总体控制审计的目的,了解信息系统总体控制审计事项评价指标,包括战略规划、组织架构、制度 体系、岗位职责、内部监督等。
(2)信息安全管理控制审计:了解信息安全管理控制审计的目的,了解信息安全管理控制审计事项评价指标,包括安全管理机构、安全管理制 度、人员安全管理、系统建设安全管理、系统运维安全管理等。
(3)信息安全技术控制审计:了解信息安全技术控制审计的目的,了解信息安全技术控制审计事项评价指标,包括物理安全、网络安全、主机 安全、应用安全、数据安全、信息化装备自主可控等。
(4)上机测试:了解一般控制的相关工具,掌握工具的使用方法。
七. 信息系统应用控制审计
(1)信息系统业务流程控制审计:了解信息系统业务流程控制审计的目的,了解信息系统业务流程控制审计事项评价指标,包括业务流程设 计、业务流程处理、业务流程功能等。
(2)数据输入、处理和输出控制审计:了解数据输入、处理和输出控制审计的目的,了解数据输入、处理和输出控制审计事项评价指标,包括 数据录入和导入控制、数据修改和删除控制、数据校验控制、数据入库控制、数据共享与交换控制、备份与恢复数据接收控制、数据转换控 制、数据整理控制、数据计算控制、数据汇总控制、数据外设输出控制、数据检索输出控制、数据共享输出控制、备份与恢复输出控制等。
(3)信息共享和业务协同审计:了解信息共享和业务协同审计的目的,了解信息共享和业务协同审计事项评价指标,包括信息资源目录体系、 信息资源交换体系、元数据和主数据、数据元素和数据库表、内部数据和外部数据、信息资源标准化等。
八. 信息化项目管理审计
(1)信息系统建设经济性审计:了解信息系统建设经济性审计的目的,了解信息系统建设经济性审计事项评价指标,包括信息系统规划经济 性、信息系统建设经济性、信息系统应用经济性、信息系统运维经济性等。
(2)信息系统建设管理审计:了解信息系统建设管理审计的目的,了解信息系统建设管理审计事项评价指标,包括项目审批管理、项目建设管 理、项目资金管理、项目监督管理、项目验收管理、项目运行管理等。
(3)信息系统绩效审计:了解信息系统绩效审计的目的,了解信息系统绩效审计事项评价指标,包括信息系统总体绩效、管理决策支持能力的 绩效、信息资源共享能力的绩效、经济业务协同能力的绩效、系统建设发展能力的绩效、信息系统贡献能力的绩效等。