ICS 35.080 L77 团 体 标 准 T/ CESA 1101—2020 信息技术服务 治理 安全审计 Information technology service - Governance -Security audit 2020 -07 -30 发布 2020 -09 -01 实施 中国电子工业标准化技术协会 发布 全国团体标准信息平台 全国团体标准信息平台 T/CESA 1101—2020 I 版权保护文件 版权所有归属于该标准的发布机构，除非有其他 规定，否则未经许可，此发行物及其章节不得以其 他形式或任何手段进行复制、再版或使用，包括电子版，影印件，或发布在互联网及内部网络等。使用 许可可于发布机构获取。 全国团体标准信息平台 T/CESA 1101—2020 II 目 次 前言 ................................ ................................ ................ III 1 范围 ................................ ................................ ................ 1 2 规范性引用文件 ................................ ................................ ...... 1 3 术语和定义 ................................ ................................ .......... 1 4 安全审计总则 ................................ ................................ ........ 2 4.1 审计与治理的关系 ................................ ................................ 2 4.2 安全管理与安全审计的关系 ................................ ........................ 2 4.3 审计结构及其关系 ................................ ................................ 2 4.4 审计依据 ................................ ................................ ........ 2 4.5 审计方法 ................................ ................................ ........ 3 4.6 审计技术 ................................ ................................ ........ 3 4.7 审计质量控制 ................................ ................................ .... 3 4.8 审计业务类型 ................................ ................................ .... 3 4.9 审计工作的执行 ................................ ................................ .. 3 4.10 审计方式 ................................ ................................ ....... 3 5 安全审计组织管理 ................................ ................................ .... 3 6 安全审计人员 ................................ ................................ ........ 3 7 安全内部控制专项审计 ................................ ................................ 4 7.1 总则 ................................ ................................ ............ 4 7.2 组织安全控制审计 ................................ ................................ 4 7.3 一般安全控制审计 ................................ ................................ 5 7.4 应用安全控制审计 ................................ ................................ 6 8 安全特定领域专项审计 ................................ ................................ 7 8.1 总则 ................................ ................................ ............ 7 8.2 信息系统生存周期安全专项审计 ................................ .................... 7 8.3 信息技术外包安全专项审计 ................................ ........................ 7 8.4 云安全专项审计 ................................ ................................ .. 7 8.5 数据安全专项审计 ................................ ................................ 8 8.6 智能安全专项审计 ................................ ................................ 8 8.7 创新技术应用安全专项审计 ................................ ........................ 8 8.8 互联网应用安全专项审计 ................................ .......................... 9 8.9 移动互联网应用安全专项审计 ................................ ...................... 9 9 安全审计流程 ................................ ................................ ........ 9 10 安全审计系统 ................................ ................................ ....... 9 11 安全审计报告 ................................ ................................ ...... 10 参 考 文 献 ................................ ................................ .......... 11 全国团体标准信息平台 T/CESA 1101—2020 III 前 言 本标准按照 GB/T 1.1-2009给出的规则起草。 请注意本文件的某些内容可能涉及专利。本文件的发布机构不承担识别这些专利的责任。 本标准由中国电子技术标准化研究院提出。 本标准由中国电子技术标准化研究院、中国电子工业标准化技术协会归口。 本标准起草单位：上海谷航信息科技发展有限公司、中国电子技术标准化研究院、上海软中信息技 术有限公司、北京赛迪认证中心有限公司、江苏江阴农村商业银行股份有限公司、无锡农村商业银行股 份有限公司、上海翰纬信息科技有限公司、四川久远银海软件股份有限公司、 广州赛宝联睿信息科技有 限公司、国信优易数据有限公司、神州数码系统集成服务有限公司、万达信息股份有限公司、上海安言 信息技术有限公司、北京易服务信息技术有限公司、广东鑫盟管理咨询有限公司、上海计算机软件技术 开发中心、 首都信息发展股份有限公司、 上海华讯网络系统有限公司、 北