ICS03.060 A11JR 中华人民共和国金融行业标准 JR/T0071.6—2020 金融行业网络安全等级保护实施指引 第6部分：审计指引 Implementationguidelinesforclassifiedprotectionofcybersecurityoffinancial industry—Part6：Guidelinesforauditwork 2020-11-11发布 2020-11-11实施 中国人民银行 发布JR/T0071.6—2020 I目  次 前言.......................................................................................................................................................................II 引言.....................................................................................................................................................................III 1范围.....................................................................................................................................................................1 2规范性引用文件.................................................................................................................................................1 3审计目标.............................................................................................................................................................1 4审计方案要求.....................................................................................................................................................1 5审计程序.............................................................................................................................................................2 6审计内容.............................................................................................................................................................8 参考文献...............................................................................................................................................................10JR/T0071.6—2020 II前  言 JR/T0071《金融行业网络安全等级保护实施指引》由以下6部分构成： ——第1部分：基础和术语； ——第2部分：基本要求； ——第3部分：岗位能力要求和评价指引； ——第4部分：培训指引； ——第5部分：审计要求； ——第6部分：审计指引。 本部分为JR/T0071的第6部分。 本部分按照GB/T1.1—2009给出的规则起草。 本部分由中国人民银行提出。 本部分由全国金融标准化技术委员会（SAC/TC180）归口。 本部分起草单位：中国人民银行科技司、中国银行保险监督管理委员会统计信息与风险监测部、中 国金融电子化公司、北京中金国盛认证有限公司。 本部分主要起草人：李伟、陈立吾、沈筱彦、车珍、昝新、夏磊、方怡、张海燕、唐辉、李凡、王 海涛、张璐、侯漫丽、潘丽扬、邓昊、赵方萌、乔媛、孙国栋、刘文娟、崔莹、陈雪峰、马成龙、杜巍、 李瑞锋。JR/T0071.6—2020 III引  言 网络安全等级保护是国家网络安全保障工作的一项基本制度，金融行业重要系统关系到国计民生， 是国家网络安全重点保护对象，因此需要一系列适合金融行业的等级保护标准体系作为支撑，以规范和 指导金融行业等级保护工作的实施。随着云计算、移动互联、物联网、大数据等新技术的广泛应用，金 融机构正根据自身发展的需要，持续推进IT架构的转型。为适应新技术、新应用和新架构情况下金融行 业网络安全等级保护工作的开展，现对JR/T0071进行修订。修订后的JR/T0071依据国家网络安全等级 保护相关要求，为金融行业的网络安全建设提供方法论、具体的建设措施及技术指导，完善金融行业网 络安全等级保护体系，更好适应新技术在金融行业的应用。JR/T0071.6—2020 1金融行业网络安全等级保护实施指引 第6部分：审计指引 1范围 本部分规定了金融机构网络安全等级保护工作实施审计的指引。 本部分适用于指导金融机构、测评机构和金融行业网络安全等级保护主管部门实施网络安全等级保 护审计工作。 2规范性引用文件 下列文件对于本文件的应用是必不可少的。凡是注日期的引用文件，仅注日期的版本适用于本文件。 凡是不注日期的引用文件，其最新版本（包括所有的修改单）适用于本文件。 GB/T25058信息安全技术网络安全等级保护实施指南 3审计目标 通过网络安全等级保护审计，获取金融机构开展网络安全等级保护工作的相关证据，并对其进行客 观的评价，以确定各金融机构在定级、备案、建设整改、测评自查、安全检查等各项网络安全等级保护 工作中是否遵循了网络安全等级保护的要求。 4审计方案要求 4.1总则 根据受审计金融机构的规模、性质和复杂程度，金融行业网络安全等级保护主管部门应制定一个或 多个审计方案，规划受审计金融机构的整体审计工作。 审计方案可包括一次或多次审计，策划和组织审计的类型和数目，以及在规定的时间内为有效和高 效地实施审计提供的所有必要活动。 金融行业网络安全等级保护主管部门应对审计方案的管理进行授权。管理审计方案人员应制定、监 督、评审及改进审计方案，并确保受审计金融机构提供必要的资源。 4.2基本要素和主要内容 4.2.1基本要素 审计方案的制定可基于以下考虑： a)法律法规和合同的要求。 b)网络安全等级保护主管部门的要求。 c)其他相关方的需求。 d)金融机构的风险。JR/T0071.6—2020 24.2.2主要内容 基于审计金融机构的规模、性质与复杂程度，审计方案的内容包括： a)审计的范围、目的和期限。 b)审计的频次。 c)审计的内容。 d)审计活动的数量和地点。 e)审计活动的重要性、复杂性、相似性。 f)审计参考的标准、法律法规、合同要求及其他审计准则。 g)以往的审计结论或以往审计方案的评审结果。 h)金融机构的变更情况。 4.3审计方案负责人员和所需资源 4.3.1审计方案负责人员职责 审计方案负责人员应了解审计原则、审计人员能力和审计技术应用。他们应具有管理技能，了解与 受审计活动相关的技术和业务。 负责管理审计方案的人员应： a)确定审计方案的目的和内容。 b)确定审计人员职责和审计程序，确保受审计金融机构提供必要的资源。 c)确保审计方案的实施。 d)确保保持审计方案记录。 e)制定、监督、评审和改进审计方案。 4.3.2所需资源 识别审计方案所需资源时应考虑： a)审计活动的制定、实施、管理和改进所必需的财务资源。 b)审计技术。 c)适合具体审计方案目的的审计人员。 d)审计方案的内容。 e)审计过程中的路途时间、食宿和其他审计所需要的资源。 4.4审计方案的实施 审计方案的实施应明确以下方面： a)与被审计机构沟通审计方案。 b)审计及其他与审计方案有关的活动的协调和日程安排。 c)向审计组提供必需的资源。 d)确保按审计方案进行审计。 e)确保审计活动记录的完整性。 f)确保审计报告的评审和批准，并确保分发给审计相关方。 5审计程序JR/T0071.6—2020 35.1活动流程 审计组应在审计前策划完整的审计活动流程，审计活动流程参见图1。 启动审计 ——指定审计组长 ——确定审计目的、范围和准则 ——确定审计的可行性 ——选择审计组 ——与受审计金融机构建立初步 联系 评审文件 评审相关管理制度文件，包括记录，确 定其针对审计准则的适宜性和充分性 准备现场审计 ——编制审计计划 ——审计组工作分配 ——准备工作文件 实施现场审计 ——举行首次