ISO/IEC 27018是公有云个人隐私保护的国际标准，标准提供了一套用于公有云中个人信息处理者的个人信息保护实用规则。这些规则让云服务供应商的个人信息安全控制变得标准化和透明化，使得公有云服务提供商在扮演PII处理者时，有足够能力去处理公有云服务中的信息安全问题，能够在满足客户合约以及相应法规前提下，有效应对云服务中个人隐私保护的特定风险。ISO/IEC 27018标准参考了ISO/IEC 27002的16项控制措施，以及根据ISO/IEC 29100的11项隐私框架原则追加的25项控制措施。

ISO/IEC 27017提供了ISO/IEC 27002与云环境相关的控制措施实施指引，同时提供了针对云服务的额外安全控制措施。ISO/IEC 27017标准适用于所有类型和规模大小的组织，无论是自建的云服务还是透过购买所获得的云服务，以及云服务提供商本身，皆可透过此标准的指引，强化所提供或者所使用的云服务的安全。ISO/IEC 27017能在组织和服务商中清楚地定义云服务提供商和云服务客户之间的责任，避免可能在服务过程总所产生的歧义，导致服务中断。ISO/IEC 27017标准除了引用37个来自于ISO/IEC 27002的控制措施，同时还额外提供了7个专门针对云服务的安全控制措施。

网络安全审计服务资质专业评价要求针对审计对象调研、审计实施方案编制、审计取证与评价、审计报告、跟踪审计和审计质量控制等六个过程进行，项目实施过程应形成文件，具体分级要求如下：

三级要求

申请三级资质认证的单位，具备确定审计目标和范围、确定审计依据的能力；具备实施现场审 计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。

1 审计对象识别

1.1 了解被审计方业务和IT情况

a) 编制业务情况调研表，并按照调研表收集有效信息。

b) 编制IT情况调研表，并按照调研表收集有效信息。

1.2 了解被审计方组织管理和IT管理情况

a) 有效掌握被审计方组织结构。

b) 有效掌握被审计方IT管理情况。

c) 了解被审计方IT支撑业务的对应关系。

d) 对网络安全审计的风险进行初步评价。

2 编制审计实施方案

2.1 确定网络安全审计目标

a) 合理确定每个具体网络安全审计项目的目标。

b) 网络安全审计目标可以包括信息化政策合规性、网络安全建设和绩效、政务系统整合和数据共享、个人信息保护和数据保护、信息化项目建设绩效与合规、信息系统有效性和可靠性、信息系统应急响应能力等。

2.2 确定网络安全审计依据

a) 应根据具体审计目标，准确确定审计依据。

b) 网络安全审计依据可以是国家和政策部门法律法规、国际国内相关标准、被审计方自己实行的有关规章制度，以及审计委托方指定的其它审计依据。

2.3 确定网络安全审计范围和审计内容

a) 应根据审计目标和审计依据，确定审计范围。审计范围应包括组织机构范围、业务范围、 IT基础设施和应用系统范围等。

b) 应根据审计依据和范围，确定审计内容。审计内容应划分到具体审计事项，明确每一个审 计事项的审计要点和审计方法及所需资源。

c) 审计方法及所需资源应包括审计人员、计划时间安排、审计工具，以及可操作的审计方法 和流程。

2.4 组建审计组

a) 应考虑审计目标、审计内容、审计范围等组建审计组。

b) 选择审计组成员应满足通用评价要求的人员能力要求，同时应满足审计和网络安全审计基 础流程中的人员能力要求。

3 审计取证与评价

3.1 审计取证

a) 应选择适当的方法，在现场审计或非现场审计活动中获取审计证据。审计取证的方法可以 是访谈、文件和记录调阅、审计项检查表、系统操作验证、审计工具、函证等。

b) 在获取审计证据过程中，应选择适当的抽样方式。

c) 应采取必要措施，保证审计证据的相关性、可靠性和充分性

3.2 编制审计工作底稿

a) 应在审计取证完成后，编制审计工作底稿或审计取证单。

b) 审计工作底稿或审计取证单应内容完整、记录清晰、结论明确，客观地反映项目审计方案的编制及实施情况，以及与形成审计结论、意见和建议有关的所有重要事项。

c) 审计工作底稿或审计取证单应经被审计方签字确认。

3.3 审计评价

a) 应对审计证据与审计依据的符合性进行评价，以形成审计发现，审计发现应明确审计项符 合或不符合审计依据的程度，该程度可以用不同级别来表示。

b) 网络安全审计评价应客观、公正地反映被审计单位信息系统的真实情况。

4 审计报告

4.1 一般原则

a) 应实事求是地反映被审计事项的事实。

b) 应要素齐全、格式规范，完整反映审计中发现的重要问题。

c) 充分考虑审计项目的重要性和风险水平，对于重要事项应当重点说明。

d) 提出可行的改进建议，以促进被审计方信息系统有效支撑其业务的目标。

4.2 审计报告的内容

a) 审计报告应完整、准确地反映审计结果，内容应包括审计概况、审计依据、审计发现、审计结论、审计意见等。

b) 需要时，审计报告可以增加附件。附件内容可包括针对审计过程、审计中发现问题所作出的具体说明，以及被审计单位的反馈意见等内容。

4.3 交付审计报告

a) 应建立审计报告的批准和交付程序，保留交付记录。

b) 应在审计委托方或被审计方约定的时间内交付，如延迟交付，应向审计委托方和被审计方说明理由。

5 跟踪审计

5.1 一般原则

a) 应安排对审计发现问题的整改措施和整改措施的效果进行跟踪审计。

b) 应与被审计方约定在规定的时间内实施跟踪审计，一般自审计报告交付起不超过6个月。

5.2 跟踪审计报告

a) 应当根据跟踪审计的实施过程和结果编制跟踪审计报告。

b) 跟踪审计报告的管理参照——4审计报告。

6 审计质量控制

6.1 审计质量控制制度

a) 应建立审计质量控制制度，以确保遵守审计相关法规和准则，作出准确的审计结论。

b) 审计质量控制制度应覆盖审计质量责任、审计职业道德、审计人力资源、审计业务执行、 审计质量监控等。

二级要求

组织申报二级资质，除满足三级能力要求外，还应满足以下要求：

申请二级资质认证的单位，至少完成6个完整的网络安全审计项目；具备确定审计目标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。

1 审计对象识别

1.1 了解被审计方业务和IT情况

a) 编制审计对象列表，包括审计对象的数量、容量、功用、版本等属性。

b) 梳理被审计方业务逻辑、应用系统处理逻辑和IT基础设施架构。

1.2 了解被审计方组织管理和IT管理情况

a) 梳理被审计方规章制度文件，形成审计项并编制对应检查表。

b) 编制完整审计调研报告，并说明重点审计项。

c) 制定审计风险评价准则，评价审计风险，为确定重点审计项和明确审计内容提供依据。

2 编制审计实施方案

2.1 确定网络安全审计目标 网络安全审计目标应经过评审，并与被审计方达成一致。

2.2 确定网络安全审计依据 应建立并维护常用审计依据库，并确保审计依据是当前适用版本。

2.3 确定网络安全审计范围和审计内容 应建立审计范围、审计对象、审计依据要求项、审计程序（方法）、所需资源的对应关系。

2.4 组建审计组应指定审计组长、主审和审计组成员，并明确分配审计任务。

3 审计取证与评价

3.1 审计取证

a) 应具备至少利用一种网络安全审计工具执行审计取证的能力。

b) 对电子形式存在的审计证据，应做好取证记录，并经被审计方相关人员确认。

c) 应采取必要的措施，保护取证过程中所采集的电子数据的安全。

3.2 编制审计工作底稿

a) 应建立审计工作底稿的分级复核制度，明确规定各级复核人员的要求和责任。

b) 审计工作底稿的内容应包括但不限于被审计部门的名称，审计事项及其期间或者截止日期，审计程序的执行过程及结果记录，审计结论、意见及建议，审计人员姓名和审计日期，复核人员姓名、复核日期和复核意见，编号及页次，被审计方意见、附件等。

3.3 审计评价

应编制审计发现列表。

4 审计报告

4.1 一般原则

应建立审计报告分级复核制度，明确规定各级复核人员的要求和责任。

4.2 审计报告的内容

a) 审计报告中应提出审计发现问题改进建议。

b) 应建立程序，对已经出具的审计报告可能存在的重要错误或者遗漏及时更正，并将更正后的审计报告提交给原审计报告接收者。

4.3 交付审计报告

c)  应建立审计报告归档和保管制度。任何组织或者个人查阅和使用归档后的审计报告，必须经审计机构负责人批准，但国家有关部门依法进行查阅的除外。

d)  审计报告归被审计方所有，被审计方对审计报告的使用、保管等有明确要求的，应遵守其要求。

5 跟踪审计

5.1 一般原则

应编制跟踪审计方案，对后续审计做出安排。

5.2 跟踪审计报告

跟踪审计报告的管理参照——4审计报告。

6 审计质量控制

6.1 审计质量控制制度

a) 应建立网络安全审计工作手册，规范网络安全审计全生命周期内的所有活动。

b) 确保审计质量控制制度与网络安全审计工作手册相适应。

一级要求

组织申报一级资质，除满足二级能力要求外，还应满足以下要求：

申请一级资质认证的单位，至少完成10个以上不同行业（如金融、电信、能源、医疗、公共部门等）完整的网络安全审计项目，项目审计目标应覆盖至少合规、安全、绩效等；具备确定审计目 标和范围、确定审计依据的能力；具备实施现场审计、报告审计发现和形成审计结论的能力；具备提出审计建议的能力。

1 审计对象识别

1.1 了解被审计方业务和IT情况

a) 应利用应用系统工具来建立和管理审计对象库。

b) 具备为被审计方提供审计对象管理工具的能力。

1.2 了解被审计方组织管理和IT管理情况应建立审计调研报告分级复核制度，明确规定各级复核人员的要求和责任。

2 编制审计实施方案

2.1 确定网络安全审计目标

2.2 确定网络安全审计依据

a) 应利用应用系统工具来建立和维护常用审计依据库，并确保审计依据是当前适用版本。 b) 具备为被审计方提供审计依据管理工具的能力。

2.3 确定网络安全审计范围和审计内容

a) 应利用应用系统工具来建立和维护审计范围、审计对象、审计依据要求项、审计程序（方 法）、所需资源的对应关系。

b) 具备为被审计方提供审计范围、审计对象、审计依据要求项、审计程序（方法）、所需资源等对应关系管理工具的能力。

2.4 组建审计组 对于特定行业领域的网络安全审计，应具备聘请外部行业技术专家作为审计组成员。

3 审计取证与评价

3.1 审计取证

a) 应至少具备和使用数据分析类、漏洞和缺陷扫描类、系统配置和运行日志检查类等类型的审计工具取证的能力。

b) 利用审计工具取证时，应采取措施确保对审计对象的风险最小化。

3.2 编制审计工作底稿

a) 应利用应用系统工具来归档和保管审计工作底稿。

b) 具备为被审计方提供审计工作底稿管理工具的能力。

3.3 审计评价

a) 应利用应用系统工具来管理审计发现列表。

b) 具备为被审计方提供审计发现列表管理工具的能力。

4 审计报告

4.1 一般原则 应利用应用系统工具来管理审计报告。

4.2 审计报告的内容 在审计的任何阶段，如果遇到或发现与审计目标和内容有关的重大问题，如违法违规问题、重大安全风险等，应出具审计专报。

4.3 交付审计报告

具备为被审计方提供审计报告管理工具的能力。

5 跟踪审计

5.1 一般原则

无

5.2 跟踪审计报告

跟踪审计报告的管理参照——4审计报告。

6 审计质量控制

6.1 审计质量控制制度

a) 应监督网络安全审计实施的过程。

b) 应定期开展网络安全审计质量检查。