数据安全审计.docx

数据安全审计 伴随互联网、云计算、移动互联网等新技术的迅猛 发展，无处不在的移动设备、无线传感器等设备以及 数以亿计的互联网用户和企业产生的消费数据及经营 数据使得各类信息呈现爆炸式增长。同时，数据的高 度集中，共享开放和交叉使用以及数据流动的趋势也 在不断加剧。组织由于数据管理、安全隔离、访问控 制及数据加密等措施不充分而面临的网络入侵和信息 泄露风险越来越大。 一旦数据的机密性、完善性和可用性受到损害， 将不能支撑组织业务的健康运行；随着网络安全法的 实施，国家对重要业务数据和个人敏感信息保护的力 度也在加强，数据安全的违规成本已越来越高。因 此，数据安全是数字经济时代生产力要素的必要属 性，持续性开展数据安全审计已成为信息系统审计的 重要内容。 本节所涉及的数据包括了日常数据和大数据（按结 构化程度和数据规模）、个人信息和重要数据（按数 据对象类型）的相关内容。本节将从数据安全治理、 数据安全管理、数据生命周期安全管理、个人信息安 全管理、重要数据安全管理、数据平台与技术安全管 理等方面对数据安全的审计方法和步骤进行描述。 一、数据安全治理审计 （一） 业务概述 数据是指对客观事件进行记录并可以鉴别的符号， 是对客观事物的性质、状态以及相互关系等进行记载 的物理符号或这些物理符号的组合。 数据安全风险涉及面较广，既体现在组织在治理层 面的治理风险，还体现在数据在其生命周期和服务过程 中的管理风险，以及伴随的个人信息和重要数据等敏感 信息泄露和跨境流通风险。 （二） 审计目标和内容 董事会的职责 该控制项旨在从组织的治理层面，检查组织是否将 数据的安全治理工作纳入组织治理工作范畴，建立健全 包括风险管理和数据安全审计监督在内的架构体系，从 而完善数据的安全合规管理。 .战略规划与价值实现 该控制项旨在检查组织是否依据董事会所明确的数 据安全治理目标制定相关的安全战略。 .数据安全合规管理 该控制项旨在检查组织是否基于数据安全战略规 划，建立健全数据安全管理制度体系，满足合规监管要 求。 4.数据风险管理 该控制项旨在检查组织是否从数据、人员、产品与 服务等方面，建立并完善数据安全风险管理体系，并将 其纳入组织风险管理体系当中。 5 .数据安全审计监督 该控制项旨在检查组织是否将数据的安全审计工作 纳入到组织的安全审计体系范畴内，建立并完善针对数 据安全审计的专项工作。 （三）常见问题和风险 1 .未建立数据安全治理组织架构及职责，无法自上 而下推动相关数据安全治理工作的有序开展。 未建立组织级数据战略规划，无法有效覆盖网络 安全法及等级保护等相关法规与标准的要求，无法指明 数据整体的发展目标和规划，不利于数据长远发展。 未制定数据安全相关管理制度及流程，导致数据 安全管控要求无法有效落实。 数据安全风险评估执行不到位，未识别出重要的 数据安全风险，不利于数据安全治理体系的持续优化。 （四）审计的主要方法和程序 董事会的职责 （1） 检查组织董事会和执行管理部门职责，是否将 数据安全治理工作纳入到组织综合治理工作范畴当中， 明确数据安全治理职责并对其安全治理予以承诺和支 持，从战略、组织、架构和实施等多个环节提供保 障。 （2） 查阅组织数据治理的规章制度，明确数据安全 治理需要达到的目标和定位，判断其治理目标是否与组 织战略、业务战略、业务目标、业务需求相一致。 （3） 检查组织是否建立跨部门的数据安全管理委员 会和风险管理委员会，明确安全治理的角色和责任。 （4） 检查组织是否建立基于满足业务战略的数据架 构，并进行持续的评估、监督和改进。 （5） 访谈组织信息科技治理负责人，了解组织是否 已经或即将部署云服务平台，以及是否将基于云平台中 的数据安全治理列入主要治理目标和任务当中。 战略规划与价值实现 （1） 访谈战略规划负责人或查阅组织经营战略规 划，判断数据战略规划是否满足经营战略需要。（经营 战略一致性） （2） 查阅组织数据战略规划，判断其战略内容是否 与组织数据治理目标相一致，检查内容上是否包括数据 服务战略、数据平台与应用战略，且战略规划内容是否 涉及数据安全，体现《网络安全法》和网络安全等级保 护等制度对于数据安全的相关要求。 （3） 访谈信息系统战略规划负责人，了解组织信息 化及信息安全战略规划要求，判断数据安全战略是否与 信息系统安全战略和需求相一致。（信息系统安全战略 一致性） （4） 查阅数据安全战略规划，判断其从内容上是否 体现组织对于个人信息（隐私）保护和重要数据保护治 理方面的要求。 .数据安全合规管理 （1） 查阅组织制定的与数据管理相关的制度与规 范，从而判断其是否符合数据安全相关的政策、法律、 法规等各项监管要求。 （2） 检查组织的数据安全管理相关制度与规范，查 看其内容是否涵盖国家和