《信息技術服務—治理—安全審計》(T/CESA 1101-2020)是2020年9月1日實施的一項中華人民共和國團體標準,歸口於中國電子技術標準化研究院、中國電子工業標準化技術協會。
團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)規定了信息技術相關的安全審計總則、安全審計組織管理、安全審計人員、安全內部控制專項審計、安全特定領域專項審計、安全審計流程、安全審計系統及安全審計報告等內容。該標準適用於:①組織決策層實施信息技術相關內部安全審計監督職能;②建立或完善組織信息技術相關內部安全審計體系;③明確組織信息技術相關內部安全審計過程要求;④規範組織信息技術相關內部安全審計業務開展;⑤第三方或其他機構開展信息技術相關安全審計的指導;⑥建立或未建立內部審計機構的組織,均可聘請第三方依據該標準要求開展信息技術相關安全審計。
基本介紹
- 中文名:信息技術服務—治理—安全審計
- 外文名:Information technology service- Governance-Security audit
- 標準號 :T/CESA 1101-2020
- 國際標準分類號 :35.080
- 國民經濟分類 :I6560 信息技術諮詢服務
- 發布日期 :2020年7月30日
- 實施日期 :2020年9月1日
- 性質:推薦性團體標準
- 狀態:現行
制定過程,編制進程,制定依據,起草工作,標準目次,內容範圍,引用檔案,意義價值,
制定過程
編制進程
- 標準立項
2019年5月27日,中國電子工業標準化技術協會在“中電標通〔2019〕020號”文中下達了《2019年第二季度第一批團體標準制修訂項目》。《信息技術服務治理安全審計》在該計畫中被立項,立項團標號碼為CESA-2019-2-007。
- 第一次核心編寫小組會議(上海)
2019年5月30-31日,核心編寫小組在上海召開標準研製討論會。該次會議全面討論了已發布的《信息技術服務治理—第4部分:審計導則》(GB 34960.4-2017)與《信息技術服務治理安全審計》的關係,研究了《中華人民共和國網路安全法》、《信息安全技術—個人信息安全規範》(GB/T 35273)、《信息技術—安全技術—信息安全管理體系要求》(GB/T 22080-2016)等一系列規範、標準等,明確了《信息技術服務治理安全審計》的框架和內容。
- 第二次核心編寫小組會議(上海)
2019年6月20-21日,核心編寫小組在上海召開標準研製討論會。該次會議商討並形成《信息技術服務—治理—安全審計》的草案。
- 第三次核心編寫小組會議(上海)
2019年7月19-20日,核心編寫小組在上海召開標準研製討論會。該次會議商討了《信息技術服務—治理—安全審計》草案修改分工,確定了工作時間節點。
- 第一次全體人員封閉會議(上海)
2019年8月15-16日,IT風險治理與審計標準專業組在上海召開全體人員工作會議。該次會議聚焦討論《信息技術服務—治理—安全審計》討論標準草案的形式與內容、修改完善標準術語、內容和格式、對標準各組成部分的提出修改意見和建議。
- 第四次核心編寫小組會議(上海)
2019年8月22-23,核心編寫小組在上海召開標準研製討論會,該次會議結合《信息技術服務—治理—安全審計》第一次全體人員封閉會議的標準修改研討結果,對《信息技術服務—治理—安全審計》進行了完善。
- 第二次全體人員封閉會議(北京)
2019年9月11-12日,IT風險治理與審計標準專業組在北京召開全體人員工作會議,該次會議聚焦《信息技術服務—治理—安全審計》的框架,並對IT總體風險管理與IT專項風險管理需要關注的重點內容進行重點分析。
- 第五次核心編寫小組會議(上海)
2019年10月16-17,核心編寫小組在上海召開標準研製討論會,該次會議修訂、完善《信息技術服務—治理—安全審計》的框架、IT總體風險管理與IT專項風險管理需要關注的重點內容。
- 意見徵求及修訂
2019年10月下旬-11月將是《信息技術服務—治理—安全審計》徵求意見及修訂的關鍵時期,將開展網上徵求意見,並將分別在上海和北京召開專家意見集中徵求會。
- 發布實施
2020年7月30日,團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)由中國電子技術標準化研究院提出,由中國電子技術標準化研究院、中國電子工業標準化技術協會歸口,由中國電子工業標準化技術協會發布。
2020年9月1日,團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)實施。
制定依據
團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)依據中國國家標準《標準化工作導則—第1部分:標準的結構和編寫》(GB/T 1.1-2009)規則起草。
起草工作
主要起草單位:上海谷航信息科技發展有限公司、中國電子技術標準化研究院、上海軟中信息技術有限公司、北京賽迪認證中心有限公司、江蘇江陰農村商業銀行股份有限公司、無錫農村商業銀行股份有限公司、上海翰緯信息科技有限公司、四川久遠銀海軟體股份有限公司、廣州賽寶聯睿信息科技有限公司、國信優易數據有限公司、神州數碼系統集成服務有限公司、萬達信息股份有限公司、上海安言信息技術有限公司、北京易服務信息技術有限公司、廣東鑫盟管理諮詢有限公司、上海計算機軟體技術開發中心、首都信息發展股份有限公司、上海華訊網路系統有限公司、北京中軟國際信息技術有限公司。
參加起草單位:北京國家會計學院、國家計算機網路與信息安全管理中心上海分中心、上海市衛生健康委員會、上海交通大學、上海市衛生健康信息中心、東北農業大學。
主要起草人:鄭晨光、俞文平、聶興凱、戴沁芸、施勇、郭鑫偉、趙丹丹、馬烈、張樹玲、楊軍、宋俊典、楊陽、浦軼華、謝樺、方健、孫佩、陳宏峰、黃建新、王春濤、李光亞、黃健、張明英陳雯、黃建文、楊琳、曹劍峰、陳昌傑、周鵬程、郭烈、任顏珠、錢偉峰、宋躍武、謝斌、俞麗平、王萌、朱永佳、閉珊珊、張娜、李建麗、肖筱華、陳宸、王錚、孫翊威、沈偉、秦峰、居琰、廖偉、王安妮、米昂、楊明、韓佳贇、楊鑫、李俊彥、李易。
標準目次
前言 | Ⅲ |
|---|---|
1範圍 | 1 |
2規範性引用檔案 | 1 |
3術語和定義 | 1 |
4安全審計總則 | 2 |
5安全審計組織管理 | 3 |
6安全審計人員 | 3 |
7安全內部控制專項審計 | 4 |
8安全特定領域專項審計 | 7 |
9安全審計流程 | 9 |
10安全審計系統 | 9 |
11安全審計報告 | 10 |
參考文獻 | 11 |
參考資料:
內容範圍
團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)規定了信息技術相關的安全審計總則、安全審計組織管理、安全審計人員、安全內部控制專項審計、安全特定領域專項審計、安全審計流程、安全審計系統及安全審計報告等內容。
該標準適用於:①組織決策層實施信息技術相關內部安全審計監督職能;②建立或完善組織信息技術相關內部安全審計體系;③明確組織信息技術相關內部安全審計過程要求;④規範組織信息技術相關內部安全審計業務開展;⑤第三方或其他機構開展信息技術相關安全審計的指導;⑥建立或未建立內部審計機構的組織,均可聘請第三方依據該標準要求開展信息技術相關安全審計。各級各類信息化主管部門、監管機構、審計監督機構或部門,可根據法律法規、部門規章的要求,使用該標準對所管轄各類組織的信息技術相關安全審計提出要求,並進行監督。
引用檔案
GB/T 34960.4 信息技術服務—治理—第4部分:審計導則 |
參考資料:
意義價值
團體標準《信息技術服務—治理—安全審計》(T/CESA 1101-2020)明確了組織內部審計主體的責權利及審計組織管理體系,對安全審計人員提出了要求,對安全內部控制審計、專項審計、審計依據與方法、審計流程及審計報告等進行了要求。每個部分由若干要點組成,通過對各個要點提出明確的要求,指導組織建立安全審計體系及開展安全審計業務,使安全審計可實施、可落地。
該標準可為政府部門制定與行業相關的政策和監管措施提供支撐,有助於政府有效加強IT安全的監管;有助於研究機構、企業等認識到IT安全審計標準研製的重要性,並形成基本的共識;幫助開展IT安全的組織了解其應遵循合規及風險等要求,為組織的安全治理提供輸入,提升整體安全治理的服務水平,促進安全審計服務的發展,為中國國內相關行業規範的落地提供指導。
