10.5 安全審計要求

審計員應定期對CA進行安全審計，包括：
a)人員審計：CA的人員必須是可信任的；必須理解安全策略和安全操作程序；
b)物理安全審計：物理安全防護措施是否完善；安全物品的管理是否符合CA的安全管理規定；
c)通信安全審計：CA的所有安全通信設備的使用是否符合CA的安全管理規定；
d)操作安全審計：CA所有的人員的操作記錄必須完整保存，并且所有操作必須符合CA的安全管理規定；
e)系統安全審計：檢查CA的操作系統、數據庫系統、入侵檢測（或入侵防御）系統、漏洞掃描系統、防病毒系統、防火墻系統、CA系統等的日志記錄，以確定系統是否異常。
f)對于記錄是否已被審計過，必須有明確的標記方法，以便審計人員能夠快速區分已審計記錄和未審計記錄；
g)每次完成審計時，審計人員要對審計記錄進行數字簽名。