信息安全审计审计依据

ISO/IEC 27001（GB/T22080）信息安全管理体系要求；

GB/T22239信息安全等级保护基本要求；

银监会《商业银行信息科技风险管理指引》；

组织自己的信息安全规章制度。

信息安全审计适用于各种类型、各种规模的组织，特别是对IT依赖度高的组织，如金融、电力、航空航天、军工、物流、电子商务、政府部门等。各个行业和部门可以单独实施信息安全审计，也可以将信息安全审计作为其它审计与信息安全相关工作的一部分内容联合实施。如IT审计、信息安全等级保护建设、信息安全风险评估、信息安全管理体系建设等。

根据预先确定的审计依据（信息安全法规、标准及用户自己的规章制度等），在规定的审计范围内，通过文件审核、记录检查、技术测试、现场访谈等活动，获得审计证据，并对其进行客观的评价，以确定被审计对象满足审计依据的程度。

信息安全审计可以使组织掌握其信息安全是否满足安全合规性要求的同时，也可以帮助组织全面了解和掌握其信息安全工作的有效性、充分性和适宜性，包括以下方面：

信息安全组织机构

信息安全需求管理

信息安全制度建设

信息科技风险管理

信息安全意识教育和培训

信息资产管理

信息安全事件管理

应急和业务连续性管理

IT外包安全管理

业务秘密保护

存储介质管理

人员安全管理

物理安全

系统安全

网络安全

数据库安全

源代码安全

应用安全

☆ 揭示信息安全风险的最佳手段

☆ 改进信息安全现状的有效途径

☆ 满足信息安全合规要求的有力武器

信息安全审计师给组织带来的价值：

1) 信息安全相应岗位人员持证上岗，满足了政策部门的合规性要求；

2) 专业人员的职业能力提高了组织信息安全保障水平；

3) 为组织实施信息安全岗位绩效考核提供了标准和依据；

4) 专业人才队伍的培养和监理，提高了组织的核心竞争力。

信息安全审计师给个人带来的价值：

1) 国家注册资格给您带来更多职业选择机会；

2) 权威认证证明您从事信息安全审计和信息系统审计工作的执业能力；

3) 权威认证提升您职业选择中的竞争力；

4) 国家注册资格给您带来更多晋升机会。

中国信息安全测评中心鼓励从事信息安全审计和信息系统审计岗位的工作人员取得国家注册信息安全审计师认证资格.

取得国家注册信息安全审计师认证资格，需参加经中国信息安全测评中心授权培训机构的相关课程培训，并通过由中国信息安全测评中心组织的相关考试。

缴纳培训和考试费用。取得注册资格证书后，按时完成规定的持续专业发展课程。取得证书三年后希望继续保持注册资格者，需按时缴纳证书维持费用；上述收费标准由中国信息安全测评中心统一规定。

1) 教育与工作经历

博士研究生；硕士研究生以上，具有1年工作经历；或本科毕业，具有2年工作经历；或大专毕业，具有4年工作经历。

2) 专业工作经历

至少具备2年从事信息安全或审计有关的工作经历。

3) 培训资格

在申请注册前，成功地完成了中国信息安全测评中心授权培训机构组织的注册信息安全审计师培训课程，并取得培训合格证书。

4) 通过由中国信息安全测评中心举行的注册信息安全审计师考试。